MarsJoke : nous avons la solution de déchiffrement

3 Oct 2016

Tous les jours, de nouvelles versions et variations de ransomwares émergent. Les développeurs de malwares sont toujours persuadés que le ransomware leur donne un ticket d’entrée facile, et ce en dépit du fait que les autorités policières prêtent de plus en plus attention au problème.

MarsJoke: the cryptor and the cure

En réalité, une multitude de versions différentes existent, les développeurs de ransomwares ayant commencé à les répéter ou à copier le travail d’autres. Par exemple, le cheval de Troie à chiffrement Polyglot alias MarsJoke, qui a été découvert récemment, est une imitation de l’infâme ransomware (qui plus est épouvantable) CTB-Locker.

On peut constater des traces de CTB-Locker partout dans Polyglot. Son interface fait incroyablement penser au ransomware. Il change le fond d’écran d’ordinateur de la même façon et tout comme CTB-Locker, permet aux victimes de déchiffrer cinq fichiers gratuitement comme preuve qu’ils peuvent être déchiffrés.

Les instructions de Polyglot aux victimes sont également identiques à celles de CTB-Locker, le texte semble avoir été copié et collé. Même la fenêtre « Request failed  » qui apparaît lorsqu’il n’y a pas de connexion Internet semble la même.

MarsJoke: the cryptor and the cure

Les algorithmes de chiffrement qu’utilise Polyglot sont aussi les mêmes, et ils sont plutôt forts.

Polyglot est largement envoyé sous la forme d’un spam, les e-mails contiennent des liens malveillants censés rediriger vers des documents importants. Bien évidemment, il n’y a pas de documents, juste un fichier exécutable malveillant. Une fois installé, Polyglot se connecte au serveur de commande et contrôle pour envoyer des informations concernant l’ordinateur infecté et toucher la rançon. En ce qui nous concerne, il nous a demandé 0.7 bitcoins, l’équivalent de 320$.

L’unique différence visuelle entre CTB-Locker et son nouveau clone est sans doute que MarsJoke/Polyglot laisse les fichiers chiffrés avec leurs extensions originales, tandis que CTB-Locker changeait l’extension, généralement à .ctbl ou .ctb2.

Malgré les ressemblances apparentes entre Polyglot et CTB-Locker, ce sont deux types de malwares complètement différents. Ils ne partagent presque aucun code. Nos experts pensent qu’en imitant l’apparence de CTB-Locker, les développeurs de Polyglot voulaient induire en erreur les spécialistes.

MarsJoke: the cryptor and the cure
Heureusement, les créateurs de Polyglot ont fait une erreur avec le générateur de clé, ce qui a permis aux chercheurs de Kaspersky Lab de trouver une clé de déchiffrement gratuite

Comme vous le savez sans doute, il n’existe pas de méthode connue pour déchiffrer des fichiers chiffrés par CTB-Locker sans payer la rançon. Mais encore une fois, Polyglot et CTB-Locker ne sont pas les mêmes. Et heureusement, les développeurs de Polyglot ont fait une erreur avec le générateur de la clé, ce qui a permis aux chercheurs de Kaspersky Lab de trouver une clé de déchiffrement gratuite, un outil gratuit qui permet de déchiffrer tous les fichiers endommagés.

Pour déchiffrer les fichiers chiffrés par Polyglot/MarsJoke, téléchargez gratuitement l’utilitaire RannohDecryptor (version 1.9.3.0 ou plus récente) sur noransom.kaspersky.com. Grâce à lui, vos fichiers seront restaurés.

Pour tout vous dire, nous avons eu de la chance avec Polyglot/MarsJoke. Les développeurs de malwares ne cessent d’adapter et d’améliorer leurs créations. Par exemple, après avoir résolu CryptXXX trois fois, son créateur avait fini par ajuster l’algorithme de chiffrement de façon à ce que nos utilitaires ne puissent pas le manipuler. Peut-être que les développeurs de Polyglot réussiront à faire la même chose de sorte que les utilitaires de déchiffrement gratuits ne soient plus une protection fiable contre les ransomwares.

La meilleure façon de se protéger des ransomwares est de les arrêter avant qu’ils passent à l’attaque. Et c’est exactement ce que font de bonnes solutions antivirus telles que Kaspersky Internet Security.

Pour mettre toutes les choses de votre côté, nous vous recommandons également de mettre à jour vos données régulièrement et d’éviter d’ouvrir des pièces jointes douteuses ou de cliquer sur des liens suspicieux.