{"id":12114,"date":"2019-08-13T09:17:36","date_gmt":"2019-08-13T09:17:36","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12114"},"modified":"2019-11-22T08:48:07","modified_gmt":"2019-11-22T08:48:07","slug":"no-more-ransom-yatron-fortunecrypt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/no-more-ransom-yatron-fortunecrypt\/12114\/","title":{"rendered":"Comment r\u00e9cup\u00e9rer les donn\u00e9es chiffr\u00e9es par les ransomwares Yatron et FortuneCrypt ?"},"content":{"rendered":"

Comment pouvons-nous r\u00e9cup\u00e9rer les fichier chiffr\u00e9s par des ransomwares<\/strong>\u00a0? Devons-nous payer les criminels qui prennent nos donn\u00e9es\u00a0en otage ? Depuis qu\u2019ils ont fait les gros titres en 2017, les ransomwares n\u2019ont cess\u00e9 d\u2019\u00e9voluer, mais ils \u00e9taient et restent un grand casse-t\u00eate aussi bien pour les utilisateurs que pour les experts. Il n\u2019est pas simple de r\u00e9cup\u00e9rer des donn\u00e9es chiffr\u00e9es par des ransomwares, voire m\u00eame impossible dans certains cas. Mais nous avons une bonne nouvelle pour toutes les victimes de logiciels malveillants tels que Yatron<\/strong> ou FortuneCrypt<\/strong> : les experts de Kaspersky ont mis au point des d\u00e9chiffreurs<\/strong> pour r\u00e9cup\u00e9rer les fichiers qui ont \u00e9t\u00e9 chiffr\u00e9s par ces logiciels malveillants.<\/p>\n

Comment d\u00e9chiffrer des fichiers chiffr\u00e9s par Yatron<\/h2>\n

Le ransomware Yatron est li\u00e9 \u00e0 un autre dispositif de chiffrement, Hidden Tear, dont l\u2019histoire est peu commune<\/a>. Il y a quelques ann\u00e9es, le chercheur turc Utku Sen a cr\u00e9\u00e9 ce logiciel malveillant \u00e0 des fins \u00e9ducatives et de recherches puis mis en ligne le code source. Son id\u00e9e \u00e9tait de vous faire comprendre comment les cybercriminels pensent<\/strong> et s\u2019efforcer au mieux de les contrecarrer.<\/p>\n

Sen s\u2019est tr\u00e8s vite rendu compte que son code pourrait \u00eatre utilis\u00e9 par des personnes v\u00e9ritablement mal intentionn\u00e9es. Il a donc volontairement laiss\u00e9 des failles lui permettant de r\u00e9cup\u00e9rer les cl\u00e9s de chiffrement<\/strong> sur les serveurs de commandes qu\u2019utilisent les logiciels malveillants. Ces cl\u00e9s pouvaient aussi \u00eatre utilis\u00e9es pour cr\u00e9er des d\u00e9chiffreurs.<\/p>\n

Le plan de Sen s\u2019est av\u00e9r\u00e9 d\u00e9fectueux lorsqu\u2019un des fournisseurs d\u2019acc\u00e8s, dont les cr\u00e9ateurs de ransomwares utilisaient les services, est parvenu \u00e0 fermer compl\u00e8tement le serveur de commandes. Ceci a entra\u00een\u00e9 la suppression de toutes les donn\u00e9es, y compris les cl\u00e9s, avant m\u00eame que les chercheurs ne puissent s\u2019en rendre compte.<\/p>\n

Plus tard, les criminels sont entr\u00e9s en contact avec Sen et lui ont promis de restaurer les donn\u00e9es des victimes s\u2019il retirait le code source de son chiffreur d\u2019Internet. Les experts ont pu acc\u00e9der \u00e0 leur requ\u00eate, mais beaucoup de personnes avaient d\u00e9j\u00e0 t\u00e9l\u00e9charg\u00e9 Hidden Tear \u00e0 ce moment-l\u00e0. L\u2019h\u00e9ritage de ce logiciel perdure\u00a0: les experts trouvent encore de nouveaux ransomwares bas\u00e9s sur ce m\u00eame mod\u00e8le. Yatron n\u2019est qu\u2019un exemple parmi tant d\u2019autres.<\/p>\n

Cependant, il n\u2019est pas impossible de combattre le ransomware puisque, fort heureusement, des faiblesses ont \u00e9t\u00e9 d\u00e9couvertes dans le code de Yatron<\/strong> et nos experts en ont profit\u00e9 pour cr\u00e9er un d\u00e9chiffreur. Si vous voyez qu\u2019un de vos fichiers chiffr\u00e9s a l\u2019extension *.yatron<\/strong>, alors rendez-vous sur le site web de No More Ransom<\/a> et t\u00e9l\u00e9chargez un outil de d\u00e9chiffrage qui r\u00e9cup\u00e9rera tous vos fichiers.<\/p>\n\n

Comment d\u00e9chiffrer des fichiers chiffr\u00e9s par FortuneCrypt<\/h2>\n

Il est compliqu\u00e9 de qualifier le second pack de ransomware de chef-d\u2019\u0153uvre, ou devrait-on plut\u00f4t dire chef-d\u2019\u0153uvre de piratage\u00a0? Plut\u00f4t que d\u2019utiliser des langages avanc\u00e9s comme C\/C++ et Python, les cr\u00e9ateurs de FortuneCrypt<\/strong> ont choisi d\u2019\u00e9crire le code en BlitzMax, un langage particuli\u00e8rement simple semblable \u00e0 un BASIC turbocompress\u00e9. Nous n\u2019avions jamais vu un tel langage dans toute l\u2019histoire de notre chasse aux logiciels malveillants.<\/p>\n

Nos experts ont d\u00e9couvert que l\u2019algorithme de chiffrement<\/strong> du malware \u00e9tait loin d\u2019\u00eatre parfait\u00a0: il leur permettait de d\u00e9velopper un d\u00e9chiffreur. Au m\u00eame titre que Yatron, les victimes de FortuneCrypt peuvent t\u00e9l\u00e9charger un outil de d\u00e9chiffrage depuis le portail de No More Ransom<\/a>, \u00e0 travers lequel elles pourront r\u00e9cup\u00e9rer les donn\u00e9es chiffr\u00e9es.<\/p>\n

Que faire avec les ransomwares sur votre ordinateur<\/h2>\n

Dans un premier temps, ne payez pas la ran\u00e7on<\/a>. En payant, vous ne fa\u00eetes qu\u2019encourager les criminels, sans garantie de r\u00e9cup\u00e9rer vos donn\u00e9es. Le mieux \u00e0 faire dans ces cas-l\u00e0 est de vous rendre sur No More Ransom<\/a>. Ce site Internet a \u00e9t\u00e9 con\u00e7u par des experts issus de diff\u00e9rentes entreprises sp\u00e9cialis\u00e9es dans la cybers\u00e9curit\u00e9<\/strong> et d\u2019autorit\u00e9s polici\u00e8res<\/strong> du monde entier comme Kaspersky, Interpol ou encore la police n\u00e9erlandaise. Cela permet aux victimes de soulager leur d\u00e9tresse. Le site propose des d\u00e9chiffreurs pour des centaines de programmes<\/strong> pour palier les menaces de ce genre et sont tous gratuits.<\/p>\n

Comment vous prot\u00e9ger des extorqueurs<\/h2>\n

Enfin, voici quelques astuces pour \u00e9viter d\u2019\u00eatre victime d\u2019un ransomware\u00a0:<\/p>\n