L'éditeur d'antivirus Bitdefender vient de publier un outil de déchiffrement pour la variante Bart du ransomware Locky. Selon l'entreprise, l'ensemble des variantes connues sont couvertes.
Les outils de désinfection sont toujours une bonne publicité pour les éditeurs d'antivirus, surtout quand ils permettent d'économiser. Bitdefender a mis en ligne un outil de déchiffrement des fichiers affectés par le rançongiciel ransomware Bart, une variante du malware Locky, devenu célèbre l'an dernier.
Payer n'est pas la solution
Pour mémoire, un ransomware est un logiciel qui chiffre les fichiers de l'utilisateur et demande une rançon en échange de la clé de déchiffrement. En général, cela passe par l'envoi de quelques centaines d'euros en bitcoins. Payer est peu recommandé, à la fois parce que cela encourage la pratique et qu'il n'y a aucune garantie de récupérer les fichiers affectés.
Bart a un fonctionnement assez simple. Il supprime les points de restauration système, puis chiffre les fichiers de l'utilisateur à l'aide de clés générées localement. Il laisse enfin une note avec des instructions sur le bureau... Demandant l'envoi de bitcoins via une page dédiée sur un service Tor. Selon Malwarebytes, le réseau serait maintenu par des pirates différents que ceux derrière le Locky d'origine.
L'ensemble des variantes couvertes
Bitdefender affirme que son outil fonctionne avec l'ensemble des échantillons essayés, avec des extensions en « .bart », « .bart.zip » et « .perl ». Il propose d'analyser un dossier particulier ou le système entier, avec l'option de sauvegarder les fichiers.
L'outil est à la fois téléchargeable sur le site de l'éditeur et chez No More Ransom, un collectif dédié à la lutte contre les rançongiciels, auxquels participent des professionnels et Europol (via EC3). Pour référence, Locky était l'une des menaces les plus discutées lors de la dernière Botconf en novembre, qui regroupe des chercheurs et acteurs de la lutte contre les botnets.
Commentaires (79)
“Payer est peu recommandé”
Ça dépend par qui, c’est pas le FBI qui recommande de payer ?
Théoriquement il ne faut pas payer.
Cependant, il est quasiment impossible de restaurer les données, donc il est recommandé de payer dans le cas de données trop importante pour être perdues…
l’image me frustre ! c’est “we have your data, pay !”
En parlant de ransomware je trouve le paywall trop présent sur Nextinpact désormais, dommage.
… En partant du principe que le fait de payer nous permettra de retrouver nos fichiers. :(
“données trop importante pour être perdues…” j’espère que tu rigoles, les données importantes sont (devraient) être backupé…sinon ce n’est pas si important que ça.
On a déjà été infecté au boulot par un cryptomachin. 1° on coupe l’infection 2° on delete les fichiers chiffrés 3° on restaure … pas de soucis.
edit:faute de frappe
et surtout des sauvegardes déconnectées du réseau
" />
“Payer n’est pas la solution” Parfois c’est la seule solution….
https://www.nextinpact.com/news/97081-ransomwares-pour-fbi-il-est-parfois-necess…
Si à la suite d’un paiement il n’y a pas récupération des donnée et que ca se sait le pirate risque de perdre beaucoup… Les victimes ne paieront plus…
J’espère qu’il déchiffre bien, parce que BitDefender du point de vue détection c’est pas ça …
http://blogmotion.fr/internet/securite/bitdefender-antiransomware-tool-15588
Sinon, à part ça, la facilité avec laquelle on peut faire des ransomwares aujourd’huim’incite franchement à reprendre le principe du backup sur support optique plutôt que sur disques.
Avec des Bluray de 50 Go ça permet de sécuriser quand même pas mal de données importantes.
Vous backupez sur quoi vous ?
Une robotique de sauvegarde sur bande Fuji. On est à l’abri 
" />
EDIT : + un PRA dans un autre bâtiment.
“le backup régulier c’est cher” : le responsable info chez nous te dirait “si c’est trop cher c’est pas assez important”.
Il faut faire la balance entre le coût d’une solution de sauvegarde et combien ça te couterai de perdre les données
Effectivement, du coup il n’y a plus à avoir peur pour leur modèle économique
J’ai 700 DVD et CD de sauvegarde depuis 2000, et ils fonctionnent toujours sauf les quelques carbon CD que j’avais acheté pour testé ^^
Encore un coup de des Shi Nwa.Sacré Granolax !
" />
Y’a aussi la stratégie de demander à la NSA …
Nos servers où se trouvent tous les docs, les progiciels et surtout leurs bases sur un Ultrium pour certains plus une deuxième backup sur un Windows storage raid 5, 10To utilisable. Qu’il faut que je déplace sur autre site pour être tranquille en cas de désastre (nous avons une boule locale fibre à nous qui permet des débits corrects). Et même là, je n’aurais jamais l’esprit tranquille
" />
Pas faux, on eu droit a Locky à l’époque, quasiment rien perdu (en local sur des postes donc) parce-que l’on a une politique décente de stockage sur servers plus Backup et il arrive que des gens pleurs lorsque leur disque dur rend l’âme et qu’ils n’ont pas tout mis sur server… bah c’est à votre disposition donc… dommage.
Payer est faire le jeu des pirates et les encourager à recommencer. Même si les données sont précieuses, il ne faut pas payer ! Moins il y aura de personnes qui payeront, moins les rançongiciels auront du succès. C’est logique !
Je vais faire un parallèle qui fera sauter au plafond certains lecteurs : quand il y a une prise d’otage, certains pays ont décidé de ne plus faire le jeu des ravisseurs en ne leur versant plus de rançon. Quid de l’otage dans ce cas-là ? Certes… mais ils ont mis un terme à ce petit jeu, qui ne profite qu’aux ravisseurs.
J’attends de voir ce que pourrait donner un ransomware Peter Griffin 😂
Pourtant, il y en aura toujours qui essaieront le kidnapping. Quitte à se faire plaisir en torturant et rendre la liberté à un polytraumatisé lourd.
Un mort s’oublie, pas un blessé ; résultat, la population influe sur les politiques pour qu’ils paient, même si individuellement ils crient à la faiblesse à chaque fois qu’un politique le fait.
Pour les données idem : on peut toujours ne pas payer, mais quand la survie de la compagnie tient à ses données comptables, des plans, etc…et bien, céder revient à se garder une porte de sortie.
Les ransomwares n’existeraient pas s’il ne s’agissait que des 3 photos et des films de vacances de 2 péquenauds.
Et comment tu fais pour les données créées ou modifiées entre le backup et l’infection ?
J’ai aussi eu un ransomware sur notre système qui pourtant fait des snapshots toutes les 1/2h, ça n’empêche pas qu’on ait perdu des centaines de documents dans cette 1/2heure …
Et je ne parle pas des documents partagés : la restauration ne ramène pas les modifs.
Ça s’appelle la prise en compte du risque, c’est vu avec le client quand on met en place une stratégie de backup, avec une question simple : combien de temps le client peut-il se permettre de perdre des données sans considérer que cela compromet son activité ? Une heure ? Deux jours ? Continuel ?
Tout ça en partant du principe qu’aucun système est inviolable (en le faisant bien comprendre au client), et que gérer ce risque et au final plus sûr que de faire l’autruche et croire qu’on est tellement à l’abri que rien ne peut arriver.
La vrai question est : payer revient il plus ou moins cher que d’organiser un système de sauvegarde ? :P
Honnêtement si je m’étais chopé une merde pareil quand je faisais ma thèse…
Car il me semble que ça crypte tout ce qui est accessible y compris les clefs USB, ce qu’il était mon système de sauvegarde.
Que fais-tu des gens qui ont été infectés juste en consultant un site internet à cause de la pub aussi appelé malvertising. Et pas besoin d’aller sur des sites “louches” (warez, porno etc), msn.com, par exemple, en a été victime.
solution PME : scripts robocopy en taches planifiées sur disque dur local + backup cloud via crashplan.
facile à gérer , pas cher, efficace
On n’est pas dredi
Apparemment personne n’est intrigué par le choix des mots: déchiffrage, et non décryptage.
L’actu ne nous dit pas comment ils font pour déchiffrer… le ransomware est si mal conçu que la clef est lisible???
“Pour mémoire, un ransomware est un logiciel qui chiffre les fichiers de l’utilisateur et demande une rançon en échange de la clé de déchiffrement.”
Mais par quel biais, par quels liens sont-ils introduits ?
Desolé
Euh non, aucun intérêt mais tu avouras quand même que le mec est pas très doué si son chiffrement peut être déchiffré si facilement. Limite, ça pourrait être intéressant de savoir quel type de connerie il a fait… Curiosité intellectuelle, tout ça…
Mais on est bien d’accord.
Seulement quand tu te demandes s’il faut payer ou non, c’est bien que tu n’as pas le backup… Le poitn de départ de la discussion c’est “faut-il payer ?” et non “comment faire pour s’en prémunir ?”
Je me suis toujours demandé si les fichiers que l’on stock dans les Googe Drive, Dropbox et autres clouds, étaient protégés. Si le malware chiffre tous les fichiers du pc, en théorie il les chiffre aussi en ligne non ? et dans ce cas, les différents services se retrouveraient aussi bloqués
Si tu es en synchronisation, le malware va chiffrer tes fichiers locaux qui vont alors être remonté à ton stockage cloud effectivement. Tu peux être sauvé si ton cloud propose du versioning.
On a choppé ce ransomware en septembre. Il était planqué dans un faux mail de DHL.
Le pdf inclus n’en était pas un, mais un java script et ma femme a cliqué dessus avec son anti-virus bien sur hs car en fin d’abonnement …grrrr
Résultat elle a perdu toutes ses données.
Mais le virus A également en partie attaqué mes données sur le nas.
Heureusement je fais une copie de sauvegarde en manuel sur un gros hdd externe de 8to quand j’y pense et j’ai donc pu en restaurer 99.9% et retrouver les dernières qui manquaient.
Tiens ça me fait penser àcet article de Matthew D. Green (cryptographe de John Hopkins) qui faisait des hypothèses sur les possibles évolutions des ransomwares avec ses étudiants. A la fois amusant, mais assez flippant aussi si, les futurs pirates arrivent à raisonner de la sorte et à mettre en place certaines solutions (utiliser une blockchaine et du zero knowledge proof pour garantir la bonne tenue de la transaction afin que le deal soit respecté par exemple).