le.cricket
Admin
Messages : 51797
Date d'inscription : 23/09/2010
Age : 72
Localisation : Mont de Marsan - 40000 - France
 |  Sujet: Un déchiffreur pour le ransomware PyLocky ! By Korben Mer 13 Fév - 20:14 | |
| Un déchiffreur pour le ransomware PyLocky !Ils sont un peu moins visibles dans les médias en ce moment, mais les ransomwares ont toujours le vent en poupe. Prenez par exemple PyLocky. Celui-ci est développé en Python et comme les autres, il chiffre tous les fichiers sur le disque dur de sa victime, avant de demander une rançon.Si je vous parle de PyLocky, c’est d’abord parce qu’il se répand beaucoup en Europe et notamment en France. Peut-être en avez-vous été victime ?La bonne nouvelle, c’est que la société Talos (Cisco) a mis au point un déchiffreur qui va vous permettre de sauver vos fichiers si vous n’avez pas eu le réflexe de faire des sauvegardes correctes. Lorsque PyLocky se lance, il génère un ID et un mot de passe aléatoire et récupère des informations sur la machine infectée. Il génère ensuite un vecteur d’initialisation aléatoire (IV) encodé en base64 et envoyé avec le reste des infos au serveur de contrôle (C2). Une fois les chemins d’accès à tous les fichiers récupérés, le chiffrement se met en route, en combinant le vecteur d’initialisation et le mot de passe. Ainsi chaque fichier est d’abord encodé en base64 avant d’être chiffré, puis une extension .lockedfile est attribué à chaque fichier. Le fichier original quand a lui est remplacé par un document contenant les instructions pour payer la rançon.L’outil de Talos fonctionne sous Windows et exige de connaitre toutes les infos envoyées au serveur C2 pour pouvoir déchiffrer les fichiers. C’est pourquoi le déchiffrement ne sera possible que si vous avez le fichier PCAP (capture du trafic réseau) de votre machine infectée. Voici le type d’infos que le déchiffreur recherchera dans le fichier PCAP : - Code:
-
PCNAME=NAME&IV=KXyiJnifKQQ%3D%0A&GC=VGA+3D&PASSWORD=CVxAfel9ojCYJ9So&CPU=Intel%28R%29+Xeon%28R%29+CPU+E5-1660+v4+%40+3.20GHz&LANG=en_US&INSERT=1&UID=XXXXXXXXXXXXXXXX&RAM=4&OSV=10.0.16299+16299&MAC=00%3A00%3A00%3A00%3A45%3A6B&OS=Microsoft+Windows+10+Pro Comme vous pouvez le voir, ce message POST contient le vecteur d’initialisation (IV) et le mot de passe. Cela sera utilisé par le déchiffreur pour restaurer vos fichiers. Si vous avez le PCAP qui va bien, et que vous voulez déchiffrer vos documents, je vous invite  à télécharger le déchiffreur PyLocky ici.Source : [Vous devez être inscrit et connecté pour voir ce lien] _________________ [Vous devez être inscrit et connecté pour voir cette image]le.cricket vous salue bien ! | |
|
