Fermer
Sections
Avast Blog Actualités de la sécurité Avast lance l'outil de déchiffrement pour le ransomware BTCWare

Avast lance l'outil de déchiffrement pour le ransomware BTCWare

Jakub Křoustek 31 mai 2017

Avast lance un nouvel outil gratuit de déchiffrement pour le ransomware BTCWare.

Un grand merci à Ladislav Zezula pour avoir travaillé sur cette publication et sur le développement de l'outil !

Si vous avez été frappé par le logiciel de rançon BTCWare, vous pouvez maintenant récupérer vos fichiers sans payer l'argent exigé.

Afin de déchiffrer vos fichiers, téléchargez notre outil gratuit de décryptage.

Le ransomware BTCWare a commencé à se répandre en mars 2017. Depuis lors, nous avons pu observer cinq variantes, qui peuvent être distinguées par l'extension des fichiers cryptés :

  • foobar.docx.[sql772@aol.com].theva
  • foobar.docx.[no.xop@protonmail.ch].cryptobyte
  • foobar.bmp.[no.btc@protonmail.ch].cryptowin
  • foobar.bmp.[no.btcw@protonmail.ch].btcware
  • foobar.docx.onyon

Depuis son apparition, BTCWare utilise le schéma FileName.Extension. [Email] .Ext2 pour nommer les fichiers. Récemment, nous avons vu une nouvelle variante, appelée Onyonware, qui n'inclut pas une adresse électronique de contact dans le nom de fichier.

Après l'exécution, le ransomware génère un mot de passe aléatoire (un par machine), qui est ensuite utilisé pour créer la clé de cryptage. Le mot de passe est ensuite chiffré avec une clé publique et présenté comme un ID utilisateur dans les fichiers de rançon. Le ransomware utilise MS CryptoAPI pour chiffrer les fichiers - les anciens échantillons utilisent le chiffre RC4, les plus récents (depuis mai 2017) utilisent AES-192.

La clé symétrique chiffrée est stockée sous la forme d'une chaîne encodée en base 64 %USERPROFILE%\Desktop\key.dat.

Lorsque le processus de cryptage du fichier est terminé, le ransomware change le fond d'écran du bureau pour la photo suivante :

01-btcware-ransomnote-001.png

En outre, dans chaque dossier contenant au moins un fichier chiffré, il existe un fichier #_README_#.inf ou !#_DECRYPT_#!.inf

02-btcware-ransomnote-002.png

03-btcware-ransomnote-003.png
La clé principale principale a été publiée par BleepingComputer le 16 mai 2017. L'outil de déchiffrement Avast BTCWare n'utilise pas cette clé, car la clé ne fonctionne pas sur toutes les variantes.

Au lieu de cela, une force brute est utilisée pour récupérer le mot de passe qui a été utilisé par le ransomware afin de chiffrer les fichiers.

IOCS (Indicators of Compromise). Les chiffres suivants sont des échantillons et preuves de ce ransomware pour nos amis chercheurs :

0c2830e7c6a5211ca77a7c312a823ad64e5c64903d652d532f4968ab164fb52d (.onyon)

1c74b5cc68758bfdc83b1b75d66201d811e27fb461448e11386b3eb9496600dc (AES-192)

1647973947121d42fd03814a5298975dfcc7cce4765f2cb4443cb8fe84ca9d88 (RC4)

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

Articles liés

Empoisonnement SEO : méfiez-vous des liens suspects et évitez les malwares

CISA a classé GootLoader parmi les principaux malwares de 2021. En début d’année, ce malware a ciblé des personnes qui avaient mené des recherches sur les ententes par plaidoyer. Plus récemment, les pirates ont ciblé des utilisateurs sur le point d’être licenciés et à la recherche de services de transition et d’autres documents relatifs à l’emploi.

20 oct. 2022 Temps estimé min

BeReal a de bonnes intentions, mais sa confidentialité tient-elle la route ?

L'objectif du réseau social est de permettre aux gens de partager des moments de leur vie sans filtre. Le danger potentiel vient du fait que ces moments non filtrés contiennent des informations que l'on préférerait ne pas partager.

7 oct. 2022 Temps estimé min

Qu’est-ce que l’algorithme de chiffrement MD5 et comment fonctionne-t-il ?

Découvrez ce qu’est la fonction de hachage MD5 (Message Digest 5) et comment elle fonctionne.

7 janv. 2022 Temps estimé 5 min

Les plus populaires

Comment éviter les arnaques aux billets de concert de Taylor Swift

16 févr. 2023

L’utilisation des données personnelles par ChatGPT est-elle légale ?

1 févr. 2023

Pourquoi les escrocs sont plus susceptibles de se faire passer pour un ami

20 oct. 2022

La biométrie est-elle bénéfique ou nocive ?

12 oct. 2022

Les 24-44 ans sont les plus susceptibles d’être arnaqués

3 oct. 2022

1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Politique de Confidentialité

--> -->