Comment déchiffrer le ransomware CryptXXX ?

26 Avr 2016

L’expérience typique d’un utilisateur victime d’un ransomware est la suivante : vous ouvrez un site Web et ensuite vous téléchargez et installez accidentellement un logiciel, sans même vous en rendre compte. Pendant un certain temps, il ne se passe rien jusqu’au moment où vous apercevez soudainement une notification : tous vos fichiers ont été chiffrés par un cheval de Troie, pour récupérer vos données vous devrez payer. Vous vous assurez qu’il ne s’agit pas d’une blague et là vos fichiers refusent de s’ouvrir et vous remarquez également qu’ils ont été actualisés avec l’inquiétante extension .crypt.

cryptxxx-featured

Si vous vous retrouvez dans cette situation embarrassante, il semblerait que votre système ait été infecté par le ransomware CryptXXX. Il s’agit d’un cheval de Troie très vicieux qui chiffre les fichiers et vole vos données personnelles ainsi que vos bitcoins. Néanmoins, nous avons une bonne nouvelle : il existe un outil gratuit, qui peut réparer votre système de cette infection.

Qu’est-ce que CryptXXX ?

Si vous cherchez la notice pour déchiffrer vos fichiers, passez cette partie — trouvez les infos nécessaires au fil de cet article . Dans ce post, nous allons dans un premier temps aborder plusieurs éléments concernant le cheval de Troie.

En avril, 15 chercheurs de Proofpoint ont découvert un tout nouveau ransomware qui utilisait le kit d’exploit Angler pour infecter les dispositifs Windows. Compte tenu que les cybercriminels n’ont donné aucun nom à leur création, les spécialistes l’ont appelé CryptXXX. Il est probable qu’ils aient choisi ce nom étant donné que le cheval de Troie avait la fâcheuse habitude d’ajouter l’extension. crypt sur tous les fichiers infectés, XXX faisant allusion au deuxième nom donné à Anglers.

CryptXXX est un ransomware intéressant. Il chiffre les fichiers de tous les dispositifs de stockage connectés à votre ordinateur peu de temps après que celui-ci ait été infecté. Les cybercriminels établissent ce délai afin de brouiller les pistes et de rendre plus difficile la détection du site Web responsable de la propagation du malware.

Après avoir terminé le chiffrement, le cheval de Troie crée trois manuels : un fichier texte, une image et une page web HTML. L’image est conçue comme un fond d’écran d’ordinateur (sans doute pour une meilleure clarté). La page Web est ouverte dans un navigateur, alors que le fichier texte est laissé au cas où dans le disque dur. Tous les manuels contiennent un texte similaire.

Ils informent aux victimes que leurs fichiers ont été chiffrés à l’aide de RSA4096, un puissant algorithme de chiffrement et demandent une rançon de 500$ en bitcoins en échange de la récupération des données. L’utilisateur est alors contraint d’installer le navigateur Tor et de suivre le lien dans le manuel pour ouvrir un site web .onion , qui comporte des instructions détaillées ainsi que la méthode de paiement. Il existe même une page contenant les questions les plus fréquentes, afin d’en faciliter l’utilisation !

CryptXXX est également très curieux et avide : il ne chiffre pas seulement les fichiers, mais vole aussi les bitcoins sauvegardés sur les disques durs des victimes et copie d’autres données, utiles pour les cybercriminels.

Ça a l’air sérieux mais nous avons un antidote !

Il est normalement très difficile de trouver un algorithme de déchiffrement universel pour les ransomwares modernes. C’est pourquoi, très souvent, la seule chose que peut faire la victime est de payer la rançon. Néanmoins, nous vous recommandons de faire cela uniquement en dernier recours.

Heureusement, CryptXXX ne s’est pas avéré si difficile que ça à craquer. Les experts de Kaspersky Lab ont créé un outil qui permet d’aider les utilisateurs à restaurer leurs fichiers chiffrés.

L’utilitaire RannohDecryptor a initialement été créé pour déchiffrer des fichiers ayant été attaqués par le ransomware Rannoh. Avec le temps, il a acquis des fonctionnalités additionnelles très utiles. Il peut désormais être utilisé pour récupérer les fichiers chiffrés par CryptXXX.

Si le ransomware CryptXXX a réussi à s’infiltrer dans votre système, tout n’est pas perdu. Pour récupérer vos fichiers, nous aurons besoin de la version originale (non chiffrée) d’au moins un de vos fichiers qui a été ciblé par CryptXXX. Si vous disposez de plusieurs copies de sauvegarde de vos fichiers, vous pourrez les récupérer.

  1. Téléchargez l’outil et lancez-le.
  2. Ouvrez les paramètres et choisissez les types de pilote que vous souhaitez analyser (amovible, réseau ou disque dur). Ne cochez pas la case  » Supprimez les fichiers chiffrés après déchiffrement  » avant d’être certain à 100% que les fichiers déchiffrés s’ouvrent correctement.
cryptxxx-screenshot-1
  1. Cliquez sur le lien  » Commencer l’analyse  » et choisissez l’endroit où les fichiers chiffrés .crypt se trouvent (le fichier en question dont vous disposez également d’une copie non chiffrée).
  2. L’outil vous demandera ensuite le fichier original.
  3. RannohDecryptor commencera ensuite à rechercher tous les autres fichiers dotés d’une extension .crypt et essaiera de déchiffrer tous les fichiers plus légers que l’original. Plus le fichier que vous avez fourni à l’utilitaire est lourd, plus celui-ci pourra déchiffrer des fichiers.

Prenez une longueur d’avance !

Il vaut mieux de ne pas prendre de risques et empêcher CryptXXX d’infecter votre PC. Notre utilitaire de déchiffrement fonctionne aujourd’hui mais les criminels pourraient bientôt créer une nouvelle version plus intelligente du même ransomware. Très souvent, les criminels changent le code du malware afin qu’il soit impossible de déchiffrer les fichiers infectés. Cela a déjà été le cas avec le ransomware TeslaCrypt, par exemple : un utilitaire était capable de récupérer les fichiers chiffrés par ce ransomware mais il est désormais complètement obsolète.

Souvenons-nous aussi que CryptXXX vole les données personnelles et de l’argent – évitez donc de fournir vos informations aux criminels.

Pour vous protéger, suivez ces quelques règles de cybersécurité :

  1. Réalisez régulièrement des copies de sauvegarde.
  2. Installez toutes les mises à jour critiques de votre système d’exploitation et de votre navigateur. Le kit d’exploit Angler, qui est utilisé par CryptXXX, utilise les vulnérabilités des logiciels afin de télécharger et d’installer le ransomware.
  3. Installer une solution de sécurité adaptée. Kaspersky Internet Security fournit une protection à plusieurs niveaux contre les ransomwares. Kaspersky Total Security, en plus de vous offrir une sécurité complète, vous permettra de réaliser des copies de sauvegarde automatiques.

Pour davantage d’informations sur comment vous protéger contre les ransomwares, rendez-vous ici.