Bitdefender publie un outil gratuit de déchiffrement du ransomware Annabelle
mars 2018 par Marc Jacob
Annabelle appartient à une famille de ransomwares dont le nom est tiré du film d’horreur Annabelle. Outre ses capacités de chiffrement de fichiers, le ransomware Annabelle va plus loin en désactivant le pare-feu, en empêchant l’exécution d’utilitaires et en se répandant par le biais de lecteurs USB connectés. Enfin, ce ransomware est aussi capable d’écraser le MBR (zone amorce) à l’aide d’un bootloader (chargeur d’amorçage) inspiré des films.
Bitdefender propose un outil permettant de déchiffrer gratuitement les fichiers pris en otage. Voici comment récupérer vos fichiers lorsque vos données ont déjà été chiffrées par le ransomware Annabelle.
Les infections par Annabelle sont faciles à distinguer des autres souches de ransomwares en raison de leur demande de rançon particulière, inspirée du film.
Annabelle chiffre les fichiers de la victime en utilisant le protocole de chiffrement AES 256 CBC avec une clé codée en dur et un vecteur d’initialisation.
Exemple de fichiers chiffrés :
Le processus d’infection a lieu en deux étapes. Tout d’abord, le malware verrouille l’écran du PC, puis il modifie le MBR. Pour pouvoir récupérer ses fichiers, la victime doit suivre les étapes ci-dessous :
1. Restaurer le Master Boot Record de l’appareil (le remplacer ou le modifier à l’aide de divers outils).
2. Supprimer les clés du registre afin d’empêcher le malware de se lancer avec le système d’exploitation. La victime peut aussi utiliser le CD de secours de Bitdefender pour lancer une analyse et désinfecter la machine.
3. Une fois l’infection supprimée, télécharger l’outil de déchiffrement et commencer le déchiffrement.
En raison du mode de fonctionnement du protocole de chiffrement AES, certains fichiers peuvent avoir jusqu’à 15 octets supplémentaires ajoutés à la fin. Ces octets supplémentaires ne devraient avoir aucune incidence sur les fichiers déchiffrés – nous ne pouvons pas éliminer ces octets supplémentaires dans la mesure où il ne figure aucune indication de la taille originale à l’intérieur du fichier chiffré.
Comment utiliser cet outil
Étape 1 : télécharger l’outil de déchiffrement ci-dessous et sauvegarder-le quelque part sur l’ordinateur.
TELECHARGER L’OUTIL DE DECHIFFREMENT ANNABELLE
Étape 2 : double-cliquer sur le fichier (préalablement enregistré en tant que BDAnnabelleDecryLast week wasptor.exe) et autoriser son exécution en cliquant sur Oui dans l’invite de l’UAC.
Étape 3 : accepter les termes de l’Accord de licence de l’utilisateur.
Étape 4 : sélectionner « Analyser l’intégralité du système » pour chercher tous les fichiers chiffrés ou ajouter simplement le chemin d’accès aux fichiers chiffrés si ceux-ci sont regroupés dans un dossier.
Nous recommandons fortement de sélectionner également « fichiers de sauvegarde » avant de lancer le processus de déchiffrement, au cas où un problème quelconque se produirait pendant le déchiffrement. Ensuite, cliquer sur « Analyser ».
À la fin de cette étape, tous les fichiers pris en otage devraient avoir été déchiffrés.
En cas de difficultés, nous contacter via l’adresse e-mail indiquée dans la section Feedback de l’outil de déchiffrement.
PS : Si vous avez coché l’option de sauvegarde, vous verrez à la fois vos fichiers chiffrés et les fichiers déchiffrés. Vous trouverez également un journal résumant le processus de déchiffrement dans le dossier %temp%\BDRemovalTool.
Mention
Ce produit inclut un logiciel développé par le projet Open SSL* pour utilisation dans la boîte à outils Open SSL (http://www.openssl.org/).