Bitdefender dévoile Bart Decryptor,
un outil gratuit qui permet de déchiffrer les fichiers verrouillés par le ransomware Bart

Nom : Bart_Ransomware_Decryption_Bitdefender.png
Affichages : 3360
Taille : 99,3 Ko

Les personnes dont les ordinateurs ont été infectés par l'une des versions du ransomware Bart et qui ont conservé leurs fichiers chiffrés peuvent désormais pousser un ouf de soulagement. En effet, il leur est désormais possible de procéder à la restauration desdits fichiers, car des chercheurs en sécurité de Bitdefender viennent d'annoncer la disponibilité d'un outil de déchiffrement gratuit baptisé Bart Decryptor. La création de l'outil a été rendue possible grâce à la collaboration de la police roumaine et d'Europol qui auraient fourni les clés de déchiffrement (probablement obtenues lors de leurs enquêtes) nécessaires au bon fonctionnement du logiciel Bart Decryptor.

Rappelons que Bitdefender est une entreprise roumaine créée en 2012 et dont le siège social se trouve à Bucarest. Elle est spécialisée dans le développement, l'édition et la commercialisation de solutions de sécurité dans près de 200 pays.

D'après les informations que nous avons recueillies, le ransomware Bart est apparu au mois de juin 2016 et ses principales cibles sont les archives ZIP qu'il chiffre en utilisant le puissant algorithme de cryptage dénommé AES (Advanced Encryption Standard). Contrairement à beaucoup d'autres types de ransomwares qui utilisent l'algorithme de chiffrement RSA, la particularité du ransomware Bart repose sur sa capacité à chiffrer des fichiers même en l'absence de connexion Internet. Une fois l'opération de chiffrement terminée, les fichiers verrouillés auraient soit l'extension .bart.zip, soit l'extension .bart, soit l'extension .perl. Le mode de fonctionnement du ransomware Bart est résumé comme suit :
  • Bart procède d'abord à la suppression de tous les points de restauration du système ;
  • il génère ensuite une clé de chiffrement en se basant sur les informations collectées depuis la machine de la victime ;
  • Tous les fichiers cibles sont ensuite recensés et chiffrés avec la clé préalablement générée ;
  • Une clé principal (master key) est également utilisée pour procéder au chiffrement de la clé qui a servi à chiffrer les fichiers. Cette clé principal devient par la suite l'identifiant unique (UID) de la victime (UID) ;
  • le ransomware Bart affiche ensuite un avis invitant la victime à payer une rançon et redirige vers un site Internet .onion. L'URL de redirection contient également l'UID de la victime.

À titre d'information, le chiffrement RSA (nommé par les initiales de ses trois inventeurs Ronald Rivest, Adi Shamir et Leonard Adleman) est un algorithme de cryptographie asymétrique. Il est très utilisé dans le commerce électronique, et est plus généralement utilisé pour échanger des données confidentielles sur Internet.

Certains médias rapportent qu'à l'origine, la mise en œuvre du ransomware Bart présentait quelques insuffisances ; ce qui avait permis aux chercheurs en sécurité d'AVG ( qui est maintenant intégré à Avast) de créer un outil qui avait la possibilité de deviner le mot de passe des archives chiffrées, cela en utilisant la méthode par force brute. Pour un bon fonctionnement de l'outil, il était nécessaire que l'utilisateur ait une copie non infectée du fichier qui a été chiffré. Cependant, cet outil a très vite atteint ses limites, car les développeurs du ransomware Bart ont modifié l'algorithme de chiffrement de ce dernier, ce qui a contribué à rendre inefficace l'outil de déchiffrement créé par AVG.

Bart Decryptor est disponible en téléchargement libre sur la plateforme dénommée NoMoreRansom. Cette dernière est maintenue par une coalition de fournisseurs de sécurité et par des organismes d'application de la loi. Elle dispose d'un ensemble d'outils de déchiffrement.

Il convient de signaler que le projet NoMoreRansom a été lancé en juillet dernier par la Police nationale hollandaise, Europol, Intel Security et Kaspersky Lab dans le but de mettre en place une nouvelle coopération entre les autorités policières et le secteur privé face à la menace grandissante des ransomwares. La réalisation de cette initiative s'est traduite par la création d’un portail ou site nommé nomoreransom. Ce dernier regroupe un ensemble de ressources pour aider les victimes, il s'agit notamment d'une FAQ Rançongiciels, de conseils de prévention, et d'outils de déchiffrement. Le portail met également à la disposition des victimes un système pour alerter la police en cas d'attaque par rançongiciel. Les internautes peuvent aussi trouver sur le portail un ensemble d'informations sur les ransomwares notamment leur manière de fonctionner, et les meilleures mesures de protection à adopter.

Les utilisateurs sont invités à mettre en place un plan de sauvegarde périodique pour faire face aux éventuelles infections par ransomware. Cela est mieux que de compter sur un outil de déchiffrement dont le fonctionnement peut être compromis. En l'absence de sauvegarde, il est recommandé aux utilisateurs de ne pas payer de rançon parce que cela ne fait qu'encourager les cybercriminels et ne se traduit pas toujours par la récupération de leurs fichiers.

Télécharger Bart Decryptor

Source : Bitdefender

Et vous ?

Que pensez-vous de ce nouvel outil ?

Avez-vous des fichiers déjà infectés par le ransomware Bart ?

Si oui, allez-vous essayer l'outil Bart Decryptor ?