Comment pouvons-nous récupérer les fichier chiffrés par des ransomwares ? Devons-nous payer les criminels qui prennent nos données en otage ? Depuis qu’ils ont fait les gros titres en 2017, les ransomwares n’ont cessé d’évoluer, mais ils étaient et restent un grand casse-tête aussi bien pour les utilisateurs que pour les experts. Il n’est pas simple de récupérer des données chiffrées par des ransomwares, voire même impossible dans certains cas. Mais nous avons une bonne nouvelle pour toutes les victimes de logiciels malveillants tels que Yatron ou FortuneCrypt : les experts de Kaspersky ont mis au point des déchiffreurs pour récupérer les fichiers qui ont été chiffrés par ces logiciels malveillants.
Comment déchiffrer des fichiers chiffrés par Yatron
Le ransomware Yatron est lié à un autre dispositif de chiffrement, Hidden Tear, dont l’histoire est peu commune. Il y a quelques années, le chercheur turc Utku Sen a créé ce logiciel malveillant à des fins éducatives et de recherches puis mis en ligne le code source. Son idée était de vous faire comprendre comment les cybercriminels pensent et s’efforcer au mieux de les contrecarrer.
Sen s’est très vite rendu compte que son code pourrait être utilisé par des personnes véritablement mal intentionnées. Il a donc volontairement laissé des failles lui permettant de récupérer les clés de chiffrement sur les serveurs de commandes qu’utilisent les logiciels malveillants. Ces clés pouvaient aussi être utilisées pour créer des déchiffreurs.
Le plan de Sen s’est avéré défectueux lorsqu’un des fournisseurs d’accès, dont les créateurs de ransomwares utilisaient les services, est parvenu à fermer complètement le serveur de commandes. Ceci a entraîné la suppression de toutes les données, y compris les clés, avant même que les chercheurs ne puissent s’en rendre compte.
Plus tard, les criminels sont entrés en contact avec Sen et lui ont promis de restaurer les données des victimes s’il retirait le code source de son chiffreur d’Internet. Les experts ont pu accéder à leur requête, mais beaucoup de personnes avaient déjà téléchargé Hidden Tear à ce moment-là. L’héritage de ce logiciel perdure : les experts trouvent encore de nouveaux ransomwares basés sur ce même modèle. Yatron n’est qu’un exemple parmi tant d’autres.
Cependant, il n’est pas impossible de combattre le ransomware puisque, fort heureusement, des faiblesses ont été découvertes dans le code de Yatron et nos experts en ont profité pour créer un déchiffreur. Si vous voyez qu’un de vos fichiers chiffrés a l’extension *.yatron, alors rendez-vous sur le site web de No More Ransom et téléchargez un outil de déchiffrage qui récupérera tous vos fichiers.
Comment déchiffrer des fichiers chiffrés par FortuneCrypt
Il est compliqué de qualifier le second pack de ransomware de chef-d’œuvre, ou devrait-on plutôt dire chef-d’œuvre de piratage ? Plutôt que d’utiliser des langages avancés comme C/C++ et Python, les créateurs de FortuneCrypt ont choisi d’écrire le code en BlitzMax, un langage particulièrement simple semblable à un BASIC turbocompressé. Nous n’avions jamais vu un tel langage dans toute l’histoire de notre chasse aux logiciels malveillants.
Nos experts ont découvert que l’algorithme de chiffrement du malware était loin d’être parfait : il leur permettait de développer un déchiffreur. Au même titre que Yatron, les victimes de FortuneCrypt peuvent télécharger un outil de déchiffrage depuis le portail de No More Ransom, à travers lequel elles pourront récupérer les données chiffrées.
Que faire avec les ransomwares sur votre ordinateur
Dans un premier temps, ne payez pas la rançon. En payant, vous ne faîtes qu’encourager les criminels, sans garantie de récupérer vos données. Le mieux à faire dans ces cas-là est de vous rendre sur No More Ransom. Ce site Internet a été conçu par des experts issus de différentes entreprises spécialisées dans la cybersécurité et d’autorités policières du monde entier comme Kaspersky, Interpol ou encore la police néerlandaise. Cela permet aux victimes de soulager leur détresse. Le site propose des déchiffreurs pour des centaines de programmes pour palier les menaces de ce genre et sont tous gratuits.
Comment vous protéger des extorqueurs
Enfin, voici quelques astuces pour éviter d’être victime d’un ransomware :
- Ne téléchargez pas de programmes sur des sites inconnus ou suspects. Même si le nom du programme à l’air correct, le pack peut contenir quelque chose de complètement différent et dangereux.
- Ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes des e-mails provenant de destinataires inconnus. Si vous recevez un message suspect et inattendu d’un ami ou d’un collègue, appelez-les pour savoir si vous pouvez ouvrir le fichier ou non.
- Assurez-vous de télécharger les dernières mises à jour de votre système d’exploitation et des programmes que vous utilisez régulièrement. Cela vous permet d’éviter les failles de sécurité dont les créateurs de ransomwares tirent profit.
- Installez une application antivirus fiable et ne la désactivez jamais, même si certains programmes vous demande de le faire.
- Sauvegardez les données importantes et stockez-les sur le Cloud, sur une clé USB ou sur un disque dur externe.