L’an dernier, nous nous étions associés à la police néerlandaise pour lancer le site web NoRansom, afin d’aider les victimes du ransomware CoinVault à restaurer l’accès à leurs données. Plus tard, nous avions amélioré le site web avec d’autres outils gratuits dans le but de restaurer les fichiers chiffrés par d’autres ransomwares à chiffrement tels que TeslaCrypt, CryptXXX, et bien d’autres.
Aujourd’hui, nous franchissons une autre grande étape dans notre croisade contre les ransomwares. Ensemble, avec la police néerlandaise, Europol et Intel Security, nous avons créé NoMoreRansom.org, un site web où nous prévoyons de rassembler la plus large sélection d’outils de déchiffrement disponibles n‘importe où.
Pour cela, nous avons commencé à ajouter une autre solution de sécurité sur le site web, dans le but d’aider les victimes du ransomware Shade à restaurer leurs fichiers, et comme pour les autres, c’est gratuit.
Shade
Shade fait partie de la famille des ransomwares à chiffrement, qui a vu le jour au début de l’année 2015. Les chevaux de Troie Shade utilisent des spams malveillants ou des kits d’exploits comme principaux vecteurs d’attaques. Ces derniers s’avèrent être la méthode la plus dangereuse étant donné que la victime ne doit ouvrir aucun fichier, une simple visite vers un site web infecté suffirait pour que le piège se referme sur elle.
Lorsque le ransomware infiltre le système d’une victime, le cheval de Troie requière une clé de chiffrement du serveur de commande et contrôle du cybercriminel (C&C) ou si le serveur est indisponible, utilise une des clés intégrées au préalable. Cela signifie que les fonctions du ransomware restent intactes même si l’ordinateur est déconnecté d’Internet.
Ensuite, le malware commence à chiffrer les fichiers. Il affecte plus de 150 formats, y compris ceux de Microsoft Office, des images et des documents. Lors du chiffrement, Shade ajoute une extension. xtbl ou .ytbl au nom du fichier. Une fois le processus de chiffrement terminé, une demande de rançon apparaît sur l’écran.
Et comme si cela ne suffisait pas, le ransomware poursuit son carnage. Tandis que la victime panique et cherche un moyen de déchiffrer ses fichiers (ou de l’argent pour la rançon), Shade continue son travail, en téléchargeant un autre malware sur l’ordinateur infecté.
Obtenez l’outil de déchiffrement gratuit
Si vous avez eu la malchance d’être la victime de Shade, nous avons une bonne nouvelle pour vous : on peut vous dissuader de la tentation de payer la rançon pour récupérer vos fichiers. Voici ce que vous devez faire :
1. Rendez-vous sur NoMoreRansom.org.
2. Défilez vers le bas jusqu’aux deux boutons de téléchargement de déchiffrement. Vous pouvez choisir l’outil de déchiffrement d’Intel Security ou celui de Kaspersky Lab. Les consignes qui suivent s’appliquent néanmoins à notre utilitaire seulement.
3. Décompressez le document téléchargé, ShadeDecryptor.zip.
4. Exécutez ShadeDecryptor.exe.
5. Dans la fenêtre Kaspersky ShadeDecryptor, cliquez sur Change Parameters.
6. Choisissez quelles unités l’utilitaire doit analyser pour détecter les fichiers chiffrés.
7. Dans cette même fenêtre, vous pouvez également sélectionner « Delete crypted files after decryption ». Cependant, on ne vous conseille pas de le faire si vous n’êtes pas sûr à 100% que tous vos fichiers aient été entièrement restaurés.
8. Cliquez sur « OK » pour revenir à l’écran principal. Cliquez sur Start scan.
9. Dans la fenêtre « Specify the path to one of encrypted files », vous devez choisir un des documents chiffrés et cliquer sur « Open ».
10. Si l’utilitaire ne peut déterminer automatiquement l’identificateur de l’infection, il vous invitera à spécifier le chemin d’accès du fichier readme.txt, qui contient essentiellement la demande de rançon et l’identificateur en question.
A présent, vos fichiers devraient être déchiffrés. Et en plus de cela, vous avez économisé votre argent ! Pour vous protéger des attaques de ransomwares à l’avenir, utilisez une solution de sécurité efficace, telle que Kaspersky Internet Security. Pour plus d’informations concernant les ransomwares, rendez-vous sur cet article.