Kaspersky Lab présente un outil gratuit pour déchiffrer les fichiers attaqués par le ransomware CryptXXX
avril 2016 par Coline Magne
Kaspersky Lab a fait de la protection des utilisateurs contre les ransomwares l’une de ses principales missions. Dans ce cadre, Fedor Sinitsyn, analyste malware senior de Kaspersky Lab, a développé un outil de déchiffrement pour aider les victimes de CryptXXX à récupérer leurs fichiers cryptés. Particulièrement malveillant, le ransomware CryptXXX cible les appareils Windows dans le but de verrouiller des fichiers, copier des données et voler des Bitcoins.
Le ransomware CryptXXX se propage via des spams qui contiennent des pièces jointes infectées ou des liens vers des sites web malicieux. Les pages web hébergeant un Angler Exploit Kit (EK) distribuent CryptXXX. Lors de l’exécution, le ransomware chiffre les fichiers présents sur le système infecté et ajoute une extension .crypt à leur nom. Les victimes sont informées que leurs fichiers ont été chiffrés en utilisant RSA-4096 — un algorithme de chiffrement fort — et une rançon en Bitcoins leur est demandée s’ils souhaitent récupérer leurs données.
Avec plus de 50 familles de ransomwares actuellement en circulation, il n’existe pas d’algorithme universel qui permettrait de bloquer ou contrôler leurs attaques. Cependant, dans le cas de CryptXXX, les criminels se targuaient d’utiliser RSA-4096, ce qui a permis à Kaspersky Lab de développer un outil de déchiffrement qui est disponible gratuitement.
Grâce au travail des experts de Kaspersky Lab, les victimes de CryptXXX peuvent maintenant recupérer leurs fichiers sans avoir à payer de rançon. Pour déchiffrer les fichiers infectés, l’outil de Kaspersky Lab aura besoin d’une version originale, c’est-à-dire non chiffrée, d’au moins un fichier touché par CryptXXX.
Les utilisateurs des solutions de Kaspersky Lab sont protégés. L’Angler exploit kit utilisé par le ransomware CryptXXX est détecté dès les premiers stades de l’infection par la technologie de prévention automatique des exploits intégrée aux solutions de Kaspersky Lab.
Les produits Kaspersky Lab détectent l’exploit kit sous les noms : HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Pour se protéger, voici quelques règles à suivre :
1. Sauvegarder régulièrement ses données.
2. Installer les mises à jour critiques de ses navigateurs et systèmes d’exploitation.
3. Installer une solution de sécurité.