Kaspersky Lab propose gratuitement RannohDecryptor pour déchiffrer et récupérer les données des victimes du ransomware Crypt XXX.
Les cybercriminels engrangent 30 millions de dollars tous les 100 jours avec le ransomware Cryptolocker. Et ce type de logiciel malveillant ne cesse de proliférer. L’un des derniers en date est le ransomware Crypt XXX. Il se propage via des spams contenant des pièces jointes ou des liens vers des sites infectés. Le logiciel chiffre les fichiers du système via RSA-4096, un algorithme de chiffrement fort qui ajoute une extension .crypt à leur nom. L’objectif : voler des données, verrouiller l’accès à des fichiers… Les victimes sont informées du piratage et doivent souvent payer une rançon en Bitcoins.
Mais Kaspersky Lab est parvenue à trouver une parade pour qu’une victime récupère ses données sans avoir à débourser. RannohDecryptor détecte l’Angler exploit kit (un composant que les cybercriminels utilisent pour actionner leurs malwares) utilisé par Crypt XXX dès le début de l’infection. Pour déchiffrer les fichiers corrompus, il aura besoin d’une version originale non chiffrée d’au moins un fichier touché par Crypt XXX. D’où l’intérêt de sauvegarder régulièrement ses données.
Pour développer cet outil, l’entreprise précise dans son communiqué qu’elle a exploité une maladresse des hackers : « les criminels se targuaient d’utiliser RSA-4096, ce qui nous a permis de développer un outil de déchiffrement ».
Fedor Sinitsyn, Senior Malware Analyst chez Kaspersky Lab, n’a cependant pas souhaité en dire plus concernant l’exploitation de cette erreur et sur le fonctionnement détaillé de RannohDecryptor: « Nous préférons ne pas divulguer de détails à ce propos afin de ne pas fournir trop d’informations susceptibles d’aider les cybercriminels. Cependant, nous pouvons confirmer que si les développeurs de ransomwares mettent au point une formule de chiffrement forte, il est alors impossible de décrypter les fichiers. Il existe néanmoins des cas où ils font des erreurs, et c’est ce qui nous permet de récupérer des fichiers cryptés. »
Pas de solution miracle
Plus de 50 familles de ransomwares circulent et l’algorithme universel qui permet de bloquer ou contrôler les attaques n’existe pas. Même si d’autres solutions s’offrent à l’utilisateur comme le précise Fedor Sinitsyn : « Cet outil ne fonctionne que pour CRYPTXXX mais il existe beaucoup d’autres outils ransomwares de décryptage disponibles, à la fois de Kaspersky et d’autres sources. En raison de la façon dont chaque programme de ransomware est écrit, chacun d’entre eux nécessite une solution de décryptage séparée. »
Avant d’installer une solution de sécurité, quelques gestes simples à adopter permettent de se prémunir face à cette menace potentielle: sauvegarder régulièrement ses données, installer les mises à jour critiques de ses navigateurs et systèmes d’exploitation…