Conseils

Avast lance trois nouveaux outils de déchiffrement pour les victimes de ransomwares

Jakub Křoustek, 15 février 2017

Avast propose désormais aux victimes d'attaques de ransomwares 14 outils de déchiffrement pour les aider à récupérer leurs fichiers.

En 2016, les ransomwares ont une fois de plus prouvé qu'ils constituaient la menace de sécurité la plus importante. Au cours de l'année précédente, plus de 200 nouveaux ransomwares ont été découverts, le nombre d'échantillons trouvés ayant été multiplié par deux. Mais heureusement, plusieurs centaines de millions d'utilisateurs d'Avast et d'AVG ont pu bénéficier d'une protection contre cette menace répandue.

Nous nous engageons à vous défendre contre les ransomwares en proposant notamment aux victimes d'attaques des outils gratuits de déchiffrement.

Trois nouveaux outils sont aujourd'hui mis à disposition pour les ransomwares suivants : HiddenTear, Jigsaw et Stampado/Philadelphia.

Veuillez noter qu'il existe déjà des outils de déchiffrement gratuits pour ces souches de ransomwares. Les chercheurs en sécurité, Michael Gillespie et Fabian Wosar ont effectué un travail remarquable en mettant au point des solutions de déchiffrement pour ces derniers. Félicitations !

Vous vous demandez sûrement pourquoi nous avons décidé de développer des outils spécifiques à ces trois ransomwares si d'autres sont déjà disponibles ? Il est toujours mieux d'avoir plusieurs options (gratuites) à disposition afin de trouver celle qui vous convient le mieux.

  • Les trois souches de ransomwares sont particulièrement actives (et répandues), notamment ces derniers mois. Les clés de chiffrement et les algorithmes internes utilisés varient énormément. C'est la raison pour laquelle nous devons également mettre à jour nos outils de déchiffrement. Il y a par conséquent de fortes chances que notre solution ou d'autres solutions existantes prennent en compte les versions les plus récentes de ces ransomwares.
  • Dernier point, et pas des moindres, nous avons pu accéléré de manière significative le temps nécessaire au déchiffrement, notamment en ce qui concerne le processus radical de déchiffrement de mot de passe. Ainsi, certaines variantes de HiddenTear peuvent être déchiffrées en quelques minutes au lieu de plusieurs jours. Les meilleurs résultats sont obtenus en déchiffrant les fichiers directement depuis l'ordinateur infecté.

Tous les outils de déchiffrement incluent une description détaillée de chaque souche de ransomware disponible sur la page outils gratuits de déchiffrement de ransomwares.

Si vous êtes la cible d'une version de HiddenTear/Jigsaw/Stampado non prise en charge par nos outils, merci de nous en informer dans la section de commentaires ci-dessous. Nous nous efforcerons de mettre nos outils à jour.

HiddenTear

HiddenTear correspond à l'un des premiers codes open source de ransomware hébergés sur GitHub datant d'août 2015. Depuis cette date, des centaines de versions de HiddenTear ont été développées par des pirates à partir du code source d'origine. Ce ransomware utilise la méthode de chiffrement AES.

Le nom de fichier est modifié :  les fichiers chiffrés portent l'une des extensions suivantes (la liste n'est pas exclusive) : .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Message de rançon : Une fois vos fichiers chiffrés, un fichier texte (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) apparaît sur le bureau de l'utilisateur. Plusieurs versions peuvent également afficher un message de rançon :

02_hiddentear-001.png

03_hiddentear-002.png

04_hiddentear-004.png

Certaines versions du message de rançon font également croire aux victimes que l'équipe de support Windows est à l'origine du verrouillage de leur ordinateur.

Jigsaw

Jigsaw est un ransomware signalé pour la première fois en mars 2016. Son nom est tiré du personnage « Jigsaw » (le Tueur au Puzzle) dans la série de films « Saw ». Plusieurs versions de ce ransomware utilisent la photo de ce personnage sur l'écran de demande de rançon.

Le nom de fichier est modifié : les fichiers chiffrés portent l'une des extensions suivantes :  .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush.

Message de rançon : Une fois les fichiers chiffrés, l'un des écrans ci-dessous apparaît :

05_jigsaw-001.png

06_jigsaw-002.png

07_jigsaw-006.png

Stampado

Stampado est un ransomware développé à partir de l'outil de script Autolt. Il a été signalé pour la première fois en août 2016. Il est en vente sur le dark web et de nouvelles versions font sans cesse leur apparition. L'une d'entre elles est également appelée Philadelphia.

Le nom de fichier est modifié : Stampado ajoute l'extension « .locked » aux fichiers chiffrés. Certaines variantes chiffrent également le nom de fichier en lui-même, qui peut ainsi ressembler à : « document.docx.locked » ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Message de rançon : Une fois le processus de chiffrement terminé, l'écran suivant s'affiche :

08_stampado-001.png

09_stampado-002.png

Comment vous protéger des ransomwares

Dans un premier temps, assurez-vous qu'un antivirus, tel qu'Avast, est installé sur tous vos appareils (même les smartphones peuvent être la cible des ransomwares). L'antivirus agit comme un filet de sécurité et bloque les ransomwares avant qu'ils ne causent de dommages, dans l'éventualité où vous en téléchargeriez un par accident.

Faites également preuve d'intelligence et de vigilance. Les distributeurs de ransomwares utilisent souvent des stratégies d'ingénierie sociale pour piéger les utilisateurs et les inciter à télécharger le logiciel malveillant. Faites attention aux liens et pièces jointes que vous ouvrez et que vous téléchargez sur le Web. Vérifiez la source des emails contenant des liens et des pièces jointes et ne téléchargez que des logiciels provenant de sites sûrs.

La sauvegarde régulière de vos données est également une étape importante. Assurez-vous que vos sauvegardes ne sont pas associées en permanence avec vos appareils, car elles pourraient également être prises en otage.

Si vous êtes malheureusement victime d'un ransomware, renseignez-vous sur nos outils de déchiffrement de ransomware pour découvrir si nous pouvons vous aider à récupérer vos fichiers !

Remerciements particuliers

Je souhaite remercier une nouvelle fois mes collègues Ladislav Zezula et Piotr Szczepanski pour la préparation de ces outils de déchiffrement.

IOCs

HiddenTear

009493fb23fe093b98d75aef62bb9301db13d9c1a8e63298f69b22719ac7bd92

08251816bab3878e2c38286e64d9b9e3e1337c97d392437dad2f9f1586e2075d

0f725b48b8645e64f8d8f80227aaf9549ac85b05b1402e0ff313044d18f8b353

1ad95b74b1e10f41b4ac7d2ee96c74e99f237e1e5717d9e59273a81477d8c9b6

3431689099074abd6b0ad5aee7aba0ef936a2d2007c1b5e7f6f3f4cb6d2a008e

355318e5fcc6f07bf41d27ef4832df2222919ad095f64b4080fd48e597b5ef44

38ea46b098257205aae48f1b9097df051c8f00688fa14016d062ba123d44a490

4219f9102b60530a6f99682e27aa047a6b1ecbf5461e325903fb0cce19d4c3b5

42b874dd426329d6c0616464f281439f3e122efa513127a69b349b79d583118c

57361eebd913854f4217a1c99397ddcd29c18d54a36421f42006b1a94a3bfef9

73a7ab4dd80364a090bc41971d6ebe95a4451f9bbd8340dc07af4dc86071999c

9bc81280113473de9ebfe54f689b4440287c37fff562e070d3a28f5269cadcf0

a1a1f810fa0860197cb5e4240f9a734ed1a066b6e5d7dd749eec101b73c72dfe

a34543a1a70531b406197e2c4cd5b96eaf4eff1527fb6378aa7ea32ccd1db1a5

abfcaab8e584bb18eea79083d0813e843b6107b60ca656f89c684fa26d1d3ae9

b32f1be576aed44a342cdb0c0ad56bf64527e0b40d558cdfb2e70a10a3d843fb

c4d97c6dd3ffbae1255bea202c73ba8b87cf7c681a2ec4aad8a079df14824bc8

cbea97aa1531aae2186bbdbc7caff7c6286f77504d78925736339bf6de669583

d5e5893687751c82ebd560828d89aff973cd319583e9d5e61778e18f3b2012c2

fd291b48c263a22e7af9cc44e311cb1b7b5a4bf8a109ccc06a7a9db6cc72b33f

Jigsaw

08c75d3d92d70a390543c600baadcbdcc6b43c92a9553751d4b9e32fad4e691f

0e125c4a6f127e6f1c7da07f820ea04daccb54c50cdb1583c6d177b2ec7e8a06

153b85a9f9f65f7e00d2bb4b812fbc1bc247f8d6ba6e14f971f71737b439b60c

1a9a9c198aaec440318eae2e1a34d418f89ff37dc8dd24380f2656b5e5cd17fa

61aa800584b170ffe9959acd057ccaf784bf3088e1d3aab39d07c0793f6c03df

6a60a514a5f279c529ae8be657ce501a64fc0c591bd2b47d1526f6fb347512fc

917809beb6566079dbb6b686107756d9eb3ff4543f6b41ef327cea7497118457

9580e6c4deba3bd46419a402b6309f77c2ed47ad62299c82ec8578400c2a3a64

bc83ef30422eb7b0c8903d3b4f1d4258e25cf78e9357a30dac773f8d2c17aa28

Stampado/Philadelphia

04a265124ae0e20b7cad58a19dad3d06f09118d6b05723f824d9ac9e20f6872f

09355d3237d203a9421f424df654444fdb7f5b9288bf57530980ac73545f1590

30b98ee321697be990136962e481d2cfeae295544550adbe887e88d5e01b7244

31d1f65dfca61b632d7decffa25d69c82c893bf6d5700347d7af46fa0779f284

4f6549c4bf5a644db47e1f38ab1facac7e48b604de571250523f3f7c9fd9ae25

655f577d28fe7eac077e728d3f081d2742aa5b476110133e9a0a1358bfe2f0d5

7d0ff206f60fe8144c28ed660be40d106b387896f652f3a0509db5fab1406b07

91cfffaee36715df953829dfd1b2353b274a374a9682c9b6d74cd5d915aec193

959d81795254f8462a56a40fc184f9ae327e360680a0c167d4e087cd52f6df4d

b2987914e8813e3fb4b71fa1e52b35e5581abe7107b765761569dda2949bea93

d369a5f0cfbc0b88d3a98e3ebe4fbe4f6e011cc2714fe79cb7d6a554c413dc95

daa4d154409a25b29b5cff5b7ff6ff218ded80ec3fc4694365b42bc216ef2f80

dd4aa2c3e398533759d44fe1e39fb1eba9151a780c2f76ad5ee32db79e5b36d0

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.