CryptoLocker est mort : voici comment récupérer vos fichiers !

CryptoLocker est mort : voici comment récupérer vos fichiers !

Bonne nouvelle pour toute personne affectée par Cryptolocker. Les sociétés de sécurité informatique FireEye et Fox-IT ont lancé un service tant attendu pour décrypter les fichiers pris en otage par le célèbre ransomware.





Cela survient peu de temps après que des chercheurs travaillant pour Kyrus Technology ont publié un article de blog détaillant le fonctionnement de CryptoLocker, ainsi que la façon dont ils l'ont rétro-conçu pour acquérir la clé privée utilisée pour chiffrer des centaines de milliers de fichiers.



Le cheval de Troie CryptoLocker a été découvert pour la première fois par Dell SecureWorks en septembre dernier. Cela fonctionne en cryptant les fichiers qui ont des extensions de fichier spécifiques, et en ne les décryptant qu'une fois qu'une rançon de 300 $ a été payée.





Bien que le réseau qui desservait le cheval de Troie ait finalement été supprimé, des milliers d'utilisateurs restent séparés de leurs fichiers. Jusqu'à maintenant.

Avez-vous été touché par Cryptolocker ? Vous voulez savoir comment récupérer vos fichiers ? Lire la suite pour plus d'informations.



Cryptolocker : Récapitulons

Lorsque Cryptolocker a fait son apparition pour la première fois, je l'ai décrit comme le « malware le plus méchant de tous les temps ». Je vais m'en tenir à cette déclaration. Une fois qu'il aura mis la main sur votre système, il saisira vos fichiers avec un cryptage quasi incassable et vous facturera un petite fortune en Bitcoin pour les récupérer.

Il n'a pas seulement attaqué les disques durs locaux non plus. S'il y avait un disque dur externe ou un lecteur réseau mappé connecté à un ordinateur infecté, il serait également attaqué. Cela a causé des ravages dans les entreprises où les employés collaborent et partagent souvent des documents sur des disques de stockage connectés au réseau.



La propagation virulente de CryptoLocker était également quelque chose à voir, tout comme la quantité phénoménale d'argent qu'il a rapportée. à partir de 3 millions de dollars à un 27 millions de dollars , alors que les victimes payaient en masse la rançon demandée, désireuses de récupérer leurs dossiers.

Peu de temps après, les serveurs utilisés pour servir et contrôler le malware Cryptolocker ont été supprimés en ' Biens opérationnels ', et une base de données des victimes a été récupérée. Il s'agissait des efforts combinés des forces de police de plusieurs pays, dont les États-Unis, le Royaume-Uni et la plupart des pays européens, et ont vu le chef de file du gang derrière le malware inculpé par le FBI.



Ce qui nous amène à aujourd'hui. CryptoLocker est officiellement mort et enterré, bien que de nombreuses personnes ne puissent pas accéder à leurs fichiers saisis, en particulier après la suppression des serveurs de paiement et de contrôle dans le cadre d'Operation Server.

Mais il y a encore de l'espoir. Voici comment CryptoLocker a été inversé et comment vous pouvez récupérer vos fichiers.

Comment Cryptolocker a été inversé

Après que Kyrus Technologies ait procédé à l'ingénierie inverse de CryptoLocker, la prochaine chose qu'ils ont faite a été de développer un moteur de décryptage.

Les fichiers cryptés avec le malware CryptoLocker suivent un format spécifique. Chaque fichier crypté est fait avec une clé AES-256 qui est unique à ce fichier particulier. Cette clé de chiffrement est ensuite chiffrée avec une paire de clés publique/privée, à l'aide d'un algorithme RSA-2048 presque imperméable plus puissant.

La clé publique générée est unique à votre ordinateur, et non au fichier crypté. Ces informations, associées à une compréhension du format de fichier utilisé pour stocker les fichiers cryptés, ont permis à Kyrus Technologies de créer un outil de décryptage efficace.

Mais il y avait un problème. Bien qu'il existait un outil pour décrypter les fichiers, il était inutile sans les clés de cryptage privées. En conséquence, le seul moyen de déverrouiller un fichier crypté avec CryptoLocker était avec la clé privée.

Heureusement, FireEye et Fox-IT ont acquis une proportion importante des clés privées Cryptolocker. Les détails sur la façon dont ils ont géré cela sont minces sur le terrain; ils disent simplement qu'ils les ont obtenus grâce à « divers partenariats et engagements d'ingénierie inverse ».

Cette bibliothèque de clés privées et le programme de décryptage créé par Kyrus Technologies signifient que les victimes de CryptoLocker ont un moyen de récupérer leurs fichiers , et sans frais pour eux. Mais comment l'utiliser ?

Décryptage d'un disque dur infecté par CryptoLocker

Tout d'abord, accédez à decryptlocker.com. Vous aurez besoin d'un exemple de fichier crypté avec le malware Cryptolocker à portée de main.

Ensuite, téléchargez-le sur le site Web DecryptCryptoLocker. Celui-ci sera ensuite traité et (espérons-le) renverra la clé privée associée au fichier qui vous sera ensuite envoyée par e-mail.

Ensuite, il s'agit de télécharger et d'exécuter un petit exécutable. Cela s'exécute sur la ligne de commande et nécessite que vous spécifiiez les fichiers que vous souhaitez déchiffrer, ainsi que votre clé privée. La commande pour l'exécuter est :

Windows 10 Bluetooth est désactivé

Decryptolocker.exe –clé

Juste pour réitérer - Cela ne s'exécutera pas automatiquement sur tous les fichiers concernés. Vous devrez soit le scripter avec Powershell ou un fichier batch, soit l'exécuter manuellement fichier par fichier.

Alors, quelle est la mauvaise nouvelle ?

Ce ne sont pas toutes de bonnes nouvelles cependant. Il existe un certain nombre de nouvelles variantes de CryptoLocker qui continuent de circuler. Bien qu'ils fonctionnent de la même manière que CryptoLocker, il n'y a pas encore de solution pour eux, à part le paiement de la rançon.

Plus de mauvaises nouvelles. Si vous avez déjà payé la rançon, vous ne reverrez probablement plus jamais cet argent. Bien que d'excellents efforts aient été déployés pour démanteler le réseau CryptoLocker, aucune partie de l'argent gagné grâce au malware n'a été récupérée.

Il y a une autre leçon plus pertinente à tirer ici. Beaucoup de gens ont pris la décision d'effacer leurs disques durs et de recommencer plutôt que de payer la rançon. C'est compréhensible. Cependant, ces personnes ne pourront pas profiter de DeCryptoLocker pour récupérer leurs fichiers.

Si vous êtes touché par un ransomware similaire et que vous ne voulez pas payer, vous voudrez peut-être investir dans un disque dur externe ou une clé USB bon marché et copier vos fichiers cryptés. Cela laisse ouverte la possibilité de les récupérer à une date ultérieure.

Parlez-moi de votre expérience CryptoLocker

Avez-vous été touché par Cryptolocker ? Avez-vous réussi à récupérer vos fichiers ? Parle-moi de ça. La zone de commentaires est ci-dessous.

Crédits photos : Verrouillage du système (Yuri Samoiliv) , Disque dur externe OWC (Karen) .

Partager Partager Tweeter E-mail Devriez-vous passer à Windows 11 immédiatement ?

Windows 11 arrive bientôt, mais faut-il mettre à jour dès que possible ou attendre quelques semaines ? Découvrons-le.

Lire la suite Rubriques connexes
  • Sécurité
  • Chiffrement
  • Cheval de Troie
  • Anti-Malware
A propos de l'auteur Matthieu Hugues(386 articles publiés)

Matthew Hughes est un développeur et écrivain de logiciels de Liverpool, en Angleterre. Il est rarement trouvé sans une tasse de café noir fort à la main et adore absolument son Macbook Pro et son appareil photo. Vous pouvez lire son blog sur http://www.matthewhughes.co.uk et le suivre sur Twitter à @matthewhughes.

Plus de Matthew Hughes

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner