Les personnes dont les ordinateurs ont été infectés par le ransomware Dharma, et qui ont conservé leurs fichiers chiffrés, peuvent désormais les restaurer gratuitement. Des chercheurs de Kaspersky et Eset ont mis à jour leur boîte à outils de déchiffrement, qui contenait déjà des outils pour déchiffrer les fichiers attaqués par le ransomware d’origine, et ont inclus cette fois-ci Dharma.
Apparu pour la première fois en novembre, Dharma est une variante du ransomware Crysis. Il est facile de le reconnaître à sa trace par l'ajout aux fichiers chiffrés de l'extension .[email_address].dharma, où l'adresse mail correspondante est celle qui est utilisée par le pirate pour tenter d'extorquer sa victime.
Mercredi, un utilisateur qui s’est servi du pseudonyme “gektar” a publié un lien vers une publication Pastbin sur le forum du support technique de BleepingComputer.com. Il assurait que la publication contenait les clés de déchiffrement de toutes les variantes du ransomware Dharma. Ce qui a permis aux chercheurs de Kaspersky et Eset de vérifier l’authenticité des clés et de mettre à jour leurs boîtes à outils respectives de déchiffrement, notamment RakniDecryptor et CrysisDecryptor. Curieusement, la même chose s'est produite en novembre avec les clés de son prédécesseur, Crysis ce qui a permis à des chercheurs de créer des outils de déchiffrement.
Les motivations de gektar restent floues. Le pseudonyme a été créé le même jour sur le forum et n’a affiché aucune autre activité depuis lors, ce qui suggère qu’il a été créé dans ce but.
Il n'y a également aucune information sur la façon dont les clés ont été obtenues en premier lieu. Toutefois, elles ont été incluses dans un fichier en-tête C, ce qui pourrait suggérer que la personne à l'origine de la fuite avait accès au code source du programme du ransomware.
Ceci devrait donc faire office de rappel aux victimes de ransomware pour les pousser à conserver une copie de leurs fichiers infectés, même s'ils décident de ne pas répondre aux demandes de rançon des attaquants. Il est déjà arrivé que des chercheurs trouvent des failles dans les implémentations de chiffrement des programmes de ransomware qui leur permettent de récupérer les données prises en otage. Il arrive également que les forces de l’ordre s'emparent des serveurs de commande et contrôle utilisés par des attaquants et publient ensuite les clés de déchiffrement.
Même si c’est un cas plus rare, les clés de déchiffrement peuvent se retrouver en ligne pour de multiples raisons. Le développeur du ransomware peut estimer qu’il a amassé suffisamment d’argent et, pour rester sous les radars, décide d’arrêter son activité. Quoi qu’il en soit, cet épisode souligne qu’il est important de garder ses fichiers.
Il est également recommandé de jeter un œil sur le site NoMoreRansom.org, dont la section « outils de déchiffrement » est régulièrement mise à jour et propose, bien entendu, des outils pour déchiffrer ses fichiers verrouillés par un ransomware.
Source : NoMoreRansom.org
Les outils pour déchiffrer ses données verrouillées par le ransomware Dharma
Sont disponibles gratuitement
Les outils pour déchiffrer ses données verrouillées par le ransomware Dharma
Sont disponibles gratuitement
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !