Données chiffrées et surchiffrées : cheval de Troie Zorab dans l’outil de déchiffrement de STOP

Les cybercriminels distribuent un ransomware qui se fait passer pour un outil permettant de déchiffrer les fichiers infectés par le cheval de Troie STOP.

Double chiffrement : Zorab s’ajoute à STOP

Que font les utilisateurs s’ils découvrent qu’un ransomware a chiffré leurs fichiers ? Tout d’abord, il est fort probable qu’ils paniquent, puis s’inquiètent, et commencent finalement à chercher une solution pour récupérer leurs données sans payer la rançon demandée par les cybercriminels (ce qui serait inutile de toute façon). En d’autres termes, ils font une recherche sur Google ou demandent conseil sur les réseaux sociaux. C’est exactement ce que les créateurs du cheval de Troie Zorab attendent d’eux, puisqu’ils ont caché le malware dans un outil qui prétend aider les victimes de STOP/Djvu.

Appât utilisé : faux outil de déchiffrement de STOP

Les cybercriminels ont décidé d’exacerber les problèmes que les victimes du ransomware STOP/Djvu rencontrent déjà, puisque ce dernier chiffre les données et, suivant la version, assigne une extension aux fichiers modifiés : .djvu, .djvus, .djvuu, .tfunde, et .uudjvu. Les créateurs de Zorab ont publié un outil qui déchiffre soi-disant les fichiers, alors qu’en réalité il les chiffre à nouveau.

Vous pouvez en effet déchiffrer les fichiers affectés par les versions antérieures de STOP puisque Emsisoft a publié un outil en octobre 2019. Les versions modernes utilisent un algorithme de chiffrement plus fiable que les technologies actuelles ne peuvent pas déchiffrer. Par conséquent, il n’existe actuellement aucun outil de déchiffrement pour les versions modernes de STOP/Djvu.

Nous avons bien dit « actuellement » puisque les outils de déchiffrement apparaissent d’une façon ou d’une autre : soit les cybercriminels commettent une erreur dans l’algorithme de chiffrement (ou utilisent tout simplement un code secret faible), soit la police localise et saisit leurs serveurs. Il est vrai que les créateurs pourraient volontairement publiés les clés mais cela est très hasardeux. De plus, même s’ils le faisaient, les entreprises de sécurité de l’information doivent tout de même créer un outil pratique que les victimes puissent utiliser pour restaurer leurs données. C’est ce qui s’est passé avec les clés des fichiers infectés par le ransomware Shade, et pour lequel nous avons publié un programme de déchiffrement en avril de cette année.

Comment savoir si un outil de déchiffrement est malveillant

Il est peu probable que ceux qui vous veulent du bien de façon anonyme créent un outil de déchiffrement et le publient sur un site inconnu, ou partagent le lien directement sur un forum ou sur les réseaux sociaux. Vous pouvez trouver de véritables solutions sur les sites officiels des entreprises de sécurité de l’information, ou sur les pages spécialisées qui se consacrent à la lutte contre les ransomwares, comme nomoreransom.org. Faites preuve de suspicion à l’égard des outils fournis par d’autres personnes.

Les cybercriminels misent sur la panique et savent qu’une personne ayant perdu ses fichiers à cause d’un outil de chiffrement va se raccrocher au moindre espoir. Même si vous pensez qu’un outil est de bonne foi, vous devez garder votre sang-froid, être objectif et vérifier attentivement l’authenticité du site. Si vous avez un quelconque doute quant à sa légitimité, n’utilisez pas l’outil et quittez la page.

Comment vous protéger de Zorab et d’autres ransomwares

  • Ne suivez pas les liens douteux et ne lancez pas les fichiers exécutables si vous ne faites pas confiance à la source. Si vous recherchez un outil de déchiffrement, les sources les plus fiables, et les premiers sites que vous devez consulter, sont kaspersky.com, nomoreransom.org (un projet mené conjointement par plusieurs entreprises), et les sites d’autres fournisseurs de solutions de sécurité. Si vous trouvez un outil ailleurs, nous vous conseillons fortement de vérifier la légitimité des auteurs et celle du site sur lequel il est publié avant même que vous songiez à l’utiliser.
  • Faites des sauvegardes de sécurité des fichiers importants.
  • Installez une solution de sécurité fiable qui détecte les ransomwares connus et qui, lorsqu’elle trouve un fichier inconnu, l’identifie et bloque les actions essayant de modifier les fichiers.

Quant aux entreprises qui ont peur des ransomwares mais utilisent une autre protection, nous leur proposons le programme autonome Kaspersky Anti-Ransomware Tool. Il est compatible avec la plupart des solutions de sécurité et détecte les menaces qui peuvent passer entre les mailles du filet.

Conseils