Ransomware XData : Avast lance un outil gratuit de déchiffement

Jakub Křoustek 1 juin 2017

Avast lance un nouvel outil gratuit de déchiffrement pour le ransomware XData.

Le ransomware XData a été découvert au milieu de mois de mai et maintenant, après tout juste deux semaines, nous publions déja un outil gratuit de déchiffrement pour les victimes touchées par celui-ci afin qu'elles puissent décrypter leurs données.

Des similitudes avec le ransomware WannaCry ?

XData partage certaines similitudes avec le système de ransomware WannaCry qui se répand dans le monde entier. XData a commencé à se répandre peu de temps après l'épidémie de WannaCry et a également infecté les machines en profitant de l'exploit EternalBlue.

La propagation de XData n'était certainement pas aussi massive que celle de WannaCry, mais elle a toujours eu un impact. Tel qu'indiqué initialement par MalwareHunterTeam, il s'adressait principalement aux utilisateurs situés en Ukraine.

Voici les statistiques des attaques XData bloquées sur notre base d'utilisateurs :

Détection du ransomware XData

Statistiques du 18/05/2017 au 31/05/2017

En examinant de plus près le code de XData, nous avons constaté qu'il est presque identique à une autre souche de ransomware récente appelée AES_NI, pour laquelle nous disposons également d'un outil de déchiffrement gratuit. Cette similitude de code n'est pas un accident. Le code d'AES_NI aurait été volé à ses auteurs par les opérateurs de XData.

Déchiffrement de XData

Après avoir infecté une machine, XData ajoute l'extension ". ~ Xdata ~" aux fichiers cryptés et dépose les instructions de paiement dans les fichiers appelés "HOW_CAN_I_DECRYPT_MY_FILES.txt".

Ecran XData - How_Can_I_Decrypt_My_Files
De plus, le ransomware crée un fichier clé avec un nom similaire à celui-ci :

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-#-20175267812-78.key.xdat dans les dossiers suivants :

  • C:\
  • C:\ ProgramData
  • Desktop

Pour copier davantage les auteurs d'AES_NI, qui ont publié la clé de décryptage la semaine dernière, les criminels qui sont derrière XData ont également publié leur clé de décryptage hier.

Cela nous a permis de préparer un outil de déchiffrement gratuit, situé sur notre site habituel.

Comment éviter un ransomware ?

  • Installez un antivirus sur tous les périphériques possibles, y compris sur votre smartphone. Un antivirus bloquera le ransomware si vous le rencontrez.

  • Effectuez la mise à jour de vos logiciels chaque fois qu'une nouvelle version est disponible. Cela peut éviter le ransomware d'exploiter une vulnérabilité de logiciel afin d'infecter votre appareil.

  • Soyez prudent. Vous devez vous éloigner des sites web douteux. Faites attention à ce que vous téléchargez et n'ouvrez aucun lien ou pièce jointe qui vous sont envoyés par un expéditeur suspect ou inconnu.

Beaucoup de gens ne pensent pas qu'un document Word ou Excel ordinaire peut conduire à des téléchargements malveillants, c'est pourquoi les cybercriminels aiment les utiliser pour leurs attaques.

Les pièces jointes malveillantes, envoyées sous la forme d'un document Word ou Excel, demandent souvent que les macros soient activées, ce qui permet au document de télécharger des logiciels malveillants, y compris le ransomware, à partir d'Internet.

  • Bien qu'il ne puisse pas vous aider à éviter le ransomware, le fait de sauvegarder vos données de façon régulière vous aidera à éviter la perte de vos données, au cas où vous deviendriez une victime.

Si vous sauvegardez régulièrement vos données, en mode hors connexion, sur un disque dur externe qui n'est pas connecté à Internet, vous réduisez considérablement le risque que quiconque touche à vos données via Internet.

Remerciement spécial

Je remercie tout particulièrement mon collègue Ladislav Zezula pour la préparation de ce décrypteur.

IOCS (Indicators of Compromise). Les chiffres suivants sont des échantillons et preuves de ce ransomware pour nos amis chercheurs :

92ad1b7965d65bfef751cf6e4e8ad4837699165626e25131409d4134f031a497

d174f0c6ded55eb315320750aaa3152fc241acbfaef662bf691ffd0080327ab9

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

--> -->