Discussion :

[Bruno]

Emsisoft lance EMISOFT Decrypter,
un déchiffreur permettant de récupérer gratuitement vos fichiers corrompus par le rançongiciel LooCipher

Les attaques de rançongiciels et leurs variantes sont de plus en plus courantes et ont des effets dévastateurs sur les entreprises de toutes tailles. L’impact financier réel de la cybercriminalité en général, et des rançongiciels en particulier, est difficile à évaluer.

LooCipher est l’un de ces rançongiciels. Découvert par un chercheur en sécurité, il est activement utilisé pour infecter les utilisateurs. Le logiciel serait distribué via une campagne de spam qui se cacherait sous la forme d'un fichier .docm appelé Info_BSV_2019.docm. La victime est ensuite priée d'effectuer un paiement BitCoin, puis d'utiliser le même programme malveillant pour déchiffrer ses fichiers une fois le paiement terminé.

Emsisoft a annoncé cette semaine la publication d’un déchiffreur pour LooCipher créé par Michael Gillespie avec l'aide de Francesco Muroni qui permet aux victimes de déchiffrer leurs fichiers gratuitement.

Comment l’utiliser ?

Une fois téléchargé, exécutez le programme avec les privilèges d’administrateur afin de déchiffrer tous les fichiers ciblés par le rançongiciels. Une fois démarré, acceptez les termes du contrat de licence et vous serez sur l’écran de bruteforcer où il vous sera demandé de sélectionner un fichier chiffré et le même fichier sous sa forme non chiffrée.

La note de rançon créée contient le texte suivant :

Q : qu'est-il arrivé à mes fichiers ?
R : tous vos fichiers importants (y compris ceux présents sur les disques réseau, les clés USB, etc.). ont été chiffrés à l'aide d'un algorithme puissant avec une clé privée et unique générée pour vous.

Q : où est ma clé ?
R : votre clé est stockée sur nos serveurs TOR afin de préserver l’anonymat.

Q : qu'est-ce que je fais ?
R : vous devez effectuer un paiement Bitcoin pour le déchiffrement.
Veuillez envoyer 300 € en Bitcoin à cette adresse : 1Ps5Vd9dKWuy9FuMDkec9qquCyTLjc2Bxe

Q : puis-je récupérer mes fichiers par d'autres moyens ?
R : non. De nos jours, il n’existe pas une telle puissance informatique pour trouver cette clé dans le temps où un être humain pourrait vivre. Même si vous utilisez Tianhe-2 (MilkyWay-2), actuellement le supercalculateur le plus rapide au monde, cela prendra des millions d’années. L'antivirus ne peut rapporter vos fichiers. La seule chose qu'ils pourraient faire est de supprimer le logiciel de déchiffrement, mais il est impossible qu'ils puissent récupérer vos fichiers. Si certains d'entre eux essaient de vous vendre ce produit, nous vous invitons à l'acheter.

Q : combien de temps ai-je ?
R : il vous reste 5 jours depuis le chiffrement de vos fichiers. Après cette période, votre clé sera automatiquement détruite.

Q : comment puis-je faire confiance ?
R : nous vous garantissons que vous pourrez récupérer vos fichiers. De plus, si nous ne le faisions pas, personne ne nous ferait confiance et nous ne recevrions aucun paiement. En fait, nous avons également intégré le déchiffreur dans son propre logiciel de chiffrement afin de simplifier au maximum le processus de déchiffrement, évitant ainsi de télécharger un déchiffreur externe. Il suffit de faire le paiement, de cliquer et si votre paiement est approuvé, le bouton devient activé.

Notons que les experts en sécurité s’accordent pour dire qu’il ne faut pas payer de rançon. Bien que dans la réalité, ce n’est pas toujours le cas.

Telecharger le déchifreur LooCipher ici

Source : Emsisoft

Et vous ?

Qu'en pensez-vous ?

Êtes-vous pour ou contre le paiement des rançons ?

Voir aussi :

« Hackers éthiques » : une victoire clé remportée contre une campagne de rançongiciel, visant des serveurs de stockage de fichiers Linux

Quelles sont les cybermenaces qu'il faut le plus surveiller en 2018 ? Le MIT Technology Review nous donne ses prédictions

[eldran64]

Si l'outil de décryptage fonctionne alors les utilisateurs auraient tord de s'en priver.

Le problème des cryptolockers montrent 2 choses:
1) un soucis des sauvegardes des données et de leurs gestions
2) un soucis avec le paiement des rançons

Si jamais personne ne payait la moindre rançon ce genre de logiciel perdrait une partie de leur intérêt pour les attaquants.

[bizulk]

D'après l'article l faut avoir une version chiffrée et non chiffrée du document pour que l'outil fonctionne. D'après son nom "bruteforcer" c'est surement un outil qui test un tas de combinaison, à voir en combien de temps il parvient à trouver la clé.
Mais avoir une version non chiffrée du document chiffrée implique d'avoir une sauvegarde, ce qui est justement le problème de ces victimes : elles n'en ont pas !

Avec beaucoup de chance, on pourrait relancer le malware (si identifié) qui chiffrerait avec la même clé un nouveau fichier inséré dans un lecteur. Cela permettrait d'avoir un échantillon .. y'en a qui veulent tester ?