Avast a sorti deux déchiffreurs gratuits, un pour les ransomwares LockFile et AtomSilo et un deuxième pour Babuk.
Le premier a été créé en collaboration avec un chercheur qui a trouvé une faiblesse dans le ransomware AtomSilo tandis que le second a profité d'un leak du code source de Babuk.
Un déchiffreur pour deux ransomwares
Bonne nouvelle pour les victimes de LockFile, AtomSilo et Babuk : Avast a créé et mis à disposition gratuitement deux déchiffreurs pour les aider à retrouver leurs fichiers. Le premier d'entre eux, qui concerne LockFile et AtomSilo, a été créé à partir des recherches de Jiří Vinopal, analyste chez RE-CERT. Il avait annoncé sur Twitter le 17 octobre avoir trouvé un moyen de récupérer des fichiers chiffrés par AtomSilo. Ce ransomware étant très similaire à LockFile, il lui a été possible, en collaboration avec Avast, de créer un déchiffreur fonctionnant pour les deux souches.
AtomSilo avait été détecté au début du mois, profitant d'une faille dans Confluence Server et Data Center, des solutions de l'entreprise Atlassian. Quant à LockFile, il utilisait les vulnérabilités connues sous le nom de PetitPotam et ProxyShell pour infecter ses victimes depuis juillet.
L'entreprise prévient cependant que son déchiffreur n'est pas parfait et qu'il est possible que certains fichiers ne soient pas déchiffrés. Il se base sur des formats de fichiers connus pour vérifier qu'un fichier a bien été déchiffré, ce qui exclut ceux qui ont des formats propriétaires voire même pas de format du tout, comme certains fichiers textes.
Un déchiffreur créé à partir de code source leaké
Le deuxième déchiffreur concerne le ransomware Babuk. Celui-ci avait fait son apparition au début de l'année et se concentrait sur les entreprises, avec une méthode connue sous le nom de double extorsion. En plus de chiffrer les fichiers, les hackers récupèrent des données et menacent de les rendre publiques si une rançon n'est pas payée. Le groupe s'était séparé après une attaque sur le département de la police métropolitaine de Washington D.C., avant d'être relancé par certains de ses membres.
En septembre, l'un des membres avait leaké l'intégralité du code source sur un forum russe. Avast a pu créer son déchiffreur à partir de ce leak mais, comme pour le premier, il n'est pas parfait. Seules les victimes dont les fichiers ont été chiffrés avec les extensions .babuk, .babyk ou .doydo pourront en profiter.
Les deux déchiffreurs sont disponibles au téléchargement sur le site d'Avast.
Sources : The Record, BleepingComputer, Avast
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
