Pour gérer vos consentements :
Categories: RansomwareSécurité

Ransomwares : des clés pas toujours si privées

Victimes de ransomwares, conservez vos fichiers chiffrés même si vous n’avez pas l’intention de payer : un jour peut-être, la clé sortira. Kaspersky l’avait rappelé il y a quelques semaines, à l’heure où Fonix arrivait en fin de parcours.

Parallèlement à la fermeture du projet, la clé de chiffrement maîtresse avait été publiée.

La publication de cette clé a permis le développement d’outils de déchiffrement. On en retrouve, en particulier, un sur le site de No More Ransom.

Un autre ransomware a suivi la même voie : Ziggy. Début février, ses créateurs ont signé son arrêt de mort. Ils ont publié, à cette occasion, un fichier contenant près d’un millier de clés pour autant de victimes. Et y ont adjoint un outil de déchiffrement prêt à l’emploi. Ainsi que le code source d’un deuxième outil, repris là aussi sur No More Ransom.

Quand les clés privées deviennent publiques

Récemment, les exploitants de Ziggy s’étaient engagés à rembourser les victimes. Ils viennent de se dire officiellement prêts, invitant les intéressés à leur envoyer un mail avec la preuve de paiement et un identifiant de machine infectée. La somme – réglée en bitcoins – serait restituée sous deux semaines…

En toile de fond, des opérations internationales de police survenues ces derniers temps contre plusieurs ransomwares. Parmi eux, le « poids lourd » Egregor.

Pas de clés ni de remboursement pour Mamba (HDDCryptor), mais une faiblesse qui pourrait donner de l’espoir aux victimes. Ce ransomware, actif depuis des années, s’appuie sur le logiciel open source DiskCryptor.
Il se trouve que la clé de chiffrement est stockée dans le fichier de configuration de ce logiciel… et que le fichier est accessible en clair. En tout cas pendant le processus de chiffrement, qui dure environ deux heures. Une fois la machine relancée et la note de rançon affichée, il est trop tard.

Illustration principale © lolloj – Shutterstock

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

3 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

5 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

22 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

23 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago