[ad_1]

Jusqu’à aujourd’hui, Microsoft Windows les utilisateurs qui ont eu la malchance de voir les fichiers personnels de leur ordinateur cryptés et détenus contre rançon par une vilaine souche de logiciels malveillants appelée CryptoLocker ont été confrontés à un choix difficile : payer aux cybercriminels une rançon de quelques centaines à plusieurs milliers de dollars pour déverrouiller les fichiers, ou dire adieu à ces fichiers pour toujours. Cela a changé ce matin, lorsque deux sociétés de sécurité se sont associées pour lancer un nouveau service en ligne gratuit qui peut aider les victimes à déverrouiller et à récupérer des fichiers brouillés par le logiciel malveillant.

classeRepéré pour la première fois en septembre 2013, CryptoLocker est une souche de logiciels malveillants prolifique et très dommageable qui utilise un cryptage fort pour verrouiller les fichiers susceptibles d’être les plus appréciés par les utilisateurs victimes, notamment les documents Microsoft Office, les photos et les fichiers MP3.

Les machines infectées affichent généralement un avertissement indiquant que les fichiers de la victime ont été verrouillés et ne peuvent être déchiffrés qu’en envoyant une certaine fraction ou un certain nombre de Bitcoins à un service de déchiffrement géré par les auteurs. Les victimes disposent de 72 heures pour payer la rançon – généralement quelques centaines de dollars de Bitcoins – après quoi la demande de rançon est multipliée par cinq ou plus.

Mais tôt mercredi matin, deux sociétés de sécurité – Milpitas, Calf. basé FireEye et Fox-IT aux Pays-Bas — lancé decryptcryptolocker.com, un site que les victimes peuvent utiliser pour récupérer leurs fichiers. Les victimes doivent fournir une adresse e-mail et télécharger un seul des fichiers cryptés depuis leur ordinateur, et le service enverra par e-mail un lien que les victimes peuvent utiliser pour télécharger un programme de récupération pour décrypter tous leurs fichiers brouillés.

Le service de décryptage gratuit a été rendu possible parce que Fox-IT a réussi à récupérer les clés privées que les cybercriminels qui exécutaient l’arnaque CryptoLocker utilisaient sur leur propre service de décryptage (non gratuit). Aucune des deux sociétés ne divulgue grand-chose sur la manière exacte dont ces clés ont été récupérées, sauf pour dire que l’occasion s’est présentée alors que les escrocs tentaient de se remettre de l’opération Tovar, un effort international en juin qui visait à démanteler l’infrastructure utilisée par CryptoLocker pour infecter les PC.

Cet effort a abouti à la reprise de la GameOver Zeus botnet, une énorme machine criminelle qui a infecté environ 500 000 à 1 million de PC et qui était utilisée comme plate-forme de distribution pour CryptoLocker.

« Après l’opération Tovar, un coup dur a été porté à l’infrastructure des criminels et nous avons cessé de voir de nouvelles infections Cryptolocker se propager », a déclaré Uttang Dawda, un chercheur de logiciels malveillants avec FireEye. « Ils ont essayé de récupérer cette infrastructure, mais dans le processus ont copié les clés de chiffrement privées sur une partie de l’infrastructure de Fox-IT. »

Dawda a déclaré qu’il est important de noter que ce service ne déverrouille que les fichiers cryptés par CryptoLocker. Bien qu’il existe plusieurs souches de logiciels malveillants imitateurs – y compris CryptoWall, CryptoDefense et OnionLocker – CryptoLocker a de loin la plus grande « part de marché » parmi eux.

Le nombre de systèmes infectés par CryptoLocker n’est pas clair, mais il est probable que ce soit dans les six chiffres. Selon Fox-It, lorsque les infections CryptoLocker ont commencé en septembre 2013, le plus grand nombre d’infections en un mois s’est produit en octobre 2013, avec plus de 155 000 systèmes touchés dans le monde. Après octobre 2013, les taux ont chuté, mais ils se sont maintenus régulièrement à environ 50 000 infections par mois.

Malheureusement, la plupart de ces victimes ont probablement perdu tous leurs fichiers les plus précieux. Fox-It dit que seulement 1,3 % des victimes ont payé une rançon CryptoLocker.

« Par conséquent, un grand nombre de victimes ont probablement perdu définitivement des fichiers à cause de cette attaque », a écrit la société dans un article de blog sur le nouveau service.

Infections CryptoLocker par pays.  Source : Fox-IT

Infections CryptoLocker par pays. Source : Fox-IT

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *