Selon la théorie de la probabilité, des choses étranges doivent arriver de temps à autre. Il existe une faible probabilité qu’une chose étrange en concret puisse se produire. En revanche un nombre infini de choses ou d’évènements qu’on pourrait sans doute qualifier d’étranges peuvent avoir lieu. Parfois, ces choses étranges s’avèrent bénéfiques, comme par exemple lorsque les cybercriminels à l’origine du ransomware TeslaCrypt ont soudainement dévoilé la clé de déchiffrement. En utilisant cette dernière, n’importe qui peut déchiffrer des fichiers chiffrés par toutes les versions de TeslaCrypt. C’est tout simplement incroyable.
Il semblerait que pour quelque raison que ce soit, les cybercriminels ont décidé de cesser la diffusion du ransomware TeslaCrypt, considéré de loin comme un des pires de sa génération. D’ailleurs, les campagnes qui diffusaient TeslaCrypt diffusent désormais CryptXXX (pour laquelle Kaspersky Lab a développé une solution).
Dès lors que les chercheurs en sécurité de l’ESET s’en sont aperçus, ils ont décidé d’utiliser le site de support de TeslaCrypt sur TOR pour demander gentiment aux cybercriminels de révéler la clé de déchiffrement… qui ont accepté.
Le site de support qui désormais n’existe plus avait dévoilé la clé de déchiffrement en indiquant » Projet clos » et » nous sommes désolés ! « .
Mais pour un utilisateur moyen, la clé ne peut être utilisée sans s’y connaître un minimum en programmation. C’est la raison pour laquelle l’utilisateur BloodDolly sur le site BleepingComputer, qui avait auparavant tenté de concevoir des fonctionnalités de déchiffrement pour Tesla, a utilisé la clé pour actualiser son TeslaDecoder.
Cette fonctionnalité est plutôt simple à utiliser. Pour déchiffrer vos fichiers, vous devez entrer la clé, sélectionner l’extension de fichier dont TeslaCrypt se servait pour déchiffrer vos fichiers, et ensuite choisir le dossier dont les fichiers ont été chiffrés, ou alors permettre à la fonctionnalité d’analyser tout votre disque dur.
Master decryption key released for #TeslaCrypt #ransomware via @threatpost https://t.co/YTqlZeYZ6z pic.twitter.com/I9wsK2cq3J
— Kaspersky (@kaspersky) May 19, 2016
Vous pouvez télécharger le TeslaDecoder de BloodDolly depuis BleepingComputer.
La fin de TeslaCrypt est réellement une bonne nouvelle dans la mesure où les méthodes de chiffrement du ransomware étaient en constante évolution depuis leur apparition en février 2015. Chez Kaspersky Lab, nous avions découvert trois versions différentes de TeslaCrypt. Même si les chercheurs avaient été en mesure de trouver la solution pour la première, ils n’avaient en revanche pas réussi à obtenir le même résultat avec la seconde et la troisième version. Mais avec l’apparition de la clé de déchiffrement, cela avait été finalement rendu possible.
#TeslaCrypt: Round Three – https://t.co/LAPH359dZp #ransomware pic.twitter.com/6m1MdgfmSz
— Kaspersky (@kaspersky) December 15, 2015
Bien que les cas dans lesquels les cybercriminels se rendent comptent qu’ils ont porté atteinte aux utilisateurs et décident de changer d’opinion soient plutôt rares, nous espérons que ce ne sera pas la dernière fois que des développeurs de ransomwares cessent leurs mauvaises activités et tentent de réparer les dégâts commis. Il existe un grand nombre de différents ransomwareset peu de chance qu’au moins un cybercriminel ne réalise qu’il a fait du mal à ses victimes. Mais comme cette histoire prouve encore une fois qu’il ne faut jamais perdre espoir !