Coup de chance ou amateurisme du ravisseur : les chercheurs de la société de sécurité logicielle Bitdefender ont décelé une erreur dans le ransomware après avoir étudié de près le logiciel malveillant. Cette erreur leur a permis de déchiffrer les dossiers victimes de chiffrement sans avoir besoin de la clé privée RSA nécessaire pour le déchiffrement. Lors de l’attaque, la clé AES est générée localement sur la machine attaquée. Ils ont donc examiné la façon dont la clé et le vecteur d’initialisation étaient générés par reverse-engineering de l'échantillon Linux.Encoder.1. Ils ont réalisé qu’au lieu de générer des clés aléatoires sécurisées et le vecteur d’initialisation, le ransomware récupérait ces deux éléments d'information de la fonction rand libc () propagés avec l'horodatage du système au moment du cryptage. Cette information peut être facilement récupérée en regardant le fichier d’horodatage. Ceci est un énorme défaut de conception qui permet la récupération de la clé AES sans avoir à décrypter avec la clé privée RSA, a souligné l’équipe de recherche de Bitdefender.
L’équipe de Bitdefender a mis à disposition de toutes les victimes un outil qui permet de déchiffrer leurs données par simple analyse et par la même occasion résoudre le problème de permission. Il suggère de redémarrer la machine victime et, après avoir téléchargé l’outil, l’exécuter en mode root. Ci-dessous les étapes pour récupérer les données :
- télécharger le script (outil) sur le site LAB de Bitdefender ;
- monter la partition et chiffrer en utilisant la commande : mount /dev/[partition_chiffrée] ;
- générer une liste de fichiers chiffrés à l’aide de la précédente commande : /mnt# sort_files.sh encrypted_partition > sorted_list ;
- exécuter l’outil de déchiffrement afin d’obtenir les informations de chiffrement : /mnt# python decrypter.py –f [premier_fichier] ;
- déchiffrer les fichiers à l’aide des informations obtenues : /mnt# python /tmp/new/decrypter.py -s [timestamp] -l sorted_list.
Tenant compte de la complexité de la procédure, Bitdefender a mis à disposition des victimes un service d’assistance pour tout besoin d’aide. Au vu de la recrudescence des attaques via un ransomware, il est important de redoubler de vigilance.
Source: Lab Bitdefender, Lien Script Bitdefender
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Forum Sécurité