Un nouvel ensemble d’outils d’Emsisoft permet à la plupart des victimes du ransomware STOP de récupérer leurs données gratuitement
Emsisoft, fabricant d’antivirus basé en Nouvelle-Zélande, a d’excellentes nouvelles pour le ransomware STOP (Djvu)[1] victimes : un outil de décryptage gratuit a été publié, et il fonctionne actuellement pour 148 variantes sur 160 existantes.[2] Malheureusement, les personnes infectées par des versions sorties après août 2019 ne pourront pas utiliser le nouvel outil de récupération de données, bien que d’autres solutions possibles soient disponibles.
STOP ransomware fait partie des souches de logiciels malveillants les plus répandues et, comme le rapportent les statistiques d’Emsisoft sur les ransomwares pour le rapport du T2 au T3 2019, représente environ 56% de toutes les infections dans le monde.[3] Avec 160 variantes publiées à ce jour, le ransomware a réussi à infecter environ 116 000 victimes, bien que ces chiffres ne soient basés que sur les détections et les soumissions AV sur les sites Web pertinents. Emsisoft estime que le nombre réel de personnes affectées par le ransomware STOP est bien plus élevé – environ 460 000
Michael Gillespie, l’un des chercheurs qui travaille avec Emsisoft et aide les utilisateurs à récupérer gratuitement les données verrouillées par un ransomware, a déclaré que l’outil développé est « un outil de décryptage plus compliqué que ce que vous obtiendriez normalement ».[4] car des méthodes jamais utilisées auparavant ont été utilisées pour le créer :
Nous allons casser le cryptage de STOP via une attaque par canal latéral sur le flux de clés du ransomware. À notre connaissance, c’est la première fois que cette méthode est utilisée pour récupérer des fichiers cryptés par un ransomware à une si grande échelle.
La plupart des utilisateurs infectent leurs machines avec des variantes STOP après avoir téléchargé des cracks logiciels illégaux
Le niveau de destruction que les ransomwares peuvent apporter est si dévastateur en raison de leur fonctionnement sophistiqué, et tandis que l’industrie de la sécurité combat vigoureusement les logiciels malveillants avec des outils de décryptage gratuits, il y a très probablement plus d’infections qui ne peuvent pas du tout être décryptées. Alors que plusieurs variantes STOP sont améliorées avec différentes fonctionnalités, la fonction de verrouillage de fichier reste son objectif principal.
La plupart des variantes STOP récentes sont distribuées via des cracks logiciels et des keygens placés sur des torrents/warez illégaux[5] sites Internet. Les exécutables illégaux permettent aux utilisateurs de déverrouiller des logiciels autrement payants et de les utiliser gratuitement sur leurs appareils. Dans certains cas, cependant, ceux qui lancent le crack infectent également leurs machines avec un ransomware, qui ajoute tous les fichiers personnels avec .gero, .cezor, .masodas ou une autre extension, empêchant tout accès ultérieur. Pour récupérer la clé unique qui a été utilisée pour verrouiller les fichiers, les victimes sont invitées à payer une rançon de 490 $, qui passera ensuite à 980 $.
STOP ransomware crypte les fichiers des victimes avec une clé qui est acquise auprès du serveur des attaquants (en ligne) ou une clé hors ligne qui n’a pas pu l’atteindre. De nombreux utilisateurs ont été affectés par ce dernier, car le logiciel malveillant n’a souvent pas réussi à atteindre un serveur dédié en raison de son arrêt relativement fréquent.
Le ransomware STOP est le plus répandu en Europe, en Amérique du Sud, en Afrique et en Asie, bien que certaines victimes aux États-Unis aient également été touchées. Aucune détection en provenance de Russie n’était présente, car les victimes de la région sont filtrées à l’aide de contrôles de langue de clavier prédéfinis.
Plusieurs ensembles de règles doivent être respectés pour que le décrypteur d’Emsisoft fonctionne
Bien que le nouvel outil de décryptage pour la plupart des variantes STOP soit une excellente nouvelle, il demandera aux utilisateurs de faire des efforts pour le faire fonctionner. Le service de décryptage est possible lorsqu’il est crypté et les fichiers originaux sont comparés les uns aux autres (ou plutôt aux cinq premiers octets). Ainsi, les victimes devront trouver un fichier de travail et le télécharger avec une copie verrouillée identique – ce processus doit être répété pour tous les types de fichiers, tels que .pdf, .doc, .jpg, etc. Le fichier doit également être au moins 150 Ko de large.[6]
Cependant, même après avoir rempli ces exigences, Emsisoft a déclaré que le décrypteur ne fonctionnerait que pour les victimes affectées par 148 variantes de 160, ce qui signifie que celles affectées par les 12 dernières variantes ne seront pas éligibles au décryptage. Les chercheurs ont également demandé aux utilisateurs de sauvegarder les données cryptées, car de nouveaux outils pourraient être créés à l’avenir :
Malheureusement, cet outil ne fonctionnera pas pour toutes les victimes car il ne peut récupérer que les fichiers chiffrés par 148 des 160 variantes. Nous estimons que cela permettra à environ 70 % des victimes de récupérer leurs données. Pour les personnes concernées par les 12 variantes restantes, aucune solution n’existe actuellement et nous ne sommes pas en mesure d’offrir une assistance supplémentaire pour le moment. Nous recommandons à ceux qui se trouvent dans cette position d’archiver les données cryptées au cas où une solution deviendrait disponible à l’avenir.
Si vous avez été affecté par les anciens .Puma, .Pumas ou .Pumax ou la version majuscule du virus, vous pouvez télécharger STOP Puma Decryptor, qui fonctionnera pour tous vos fichiers.[7] Si vous faites partie de ceux qui ont été affectés par les dernières variantes de Djvu, vous pouvez toujours essayer un outil de décryptage qui fonctionne parfois pour un fichier crypté avec une clé hors ligne.[8]
