{"id":15047,"date":"2020-06-09T14:46:45","date_gmt":"2020-06-09T14:46:45","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15047"},"modified":"2020-06-09T14:49:21","modified_gmt":"2020-06-09T14:49:21","slug":"fake-djvu-ransomware-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fake-djvu-ransomware-decryptor\/15047\/","title":{"rendered":"Donn\u00e9es chiffr\u00e9es et surchiffr\u00e9es : cheval de Troie Zorab dans l’outil de d\u00e9chiffrement de STOP"},"content":{"rendered":"

Que font les utilisateurs s\u2019ils d\u00e9couvrent qu\u2019un ransomware a chiffr\u00e9 leurs fichiers\u00a0? Tout d\u2019abord, il est fort probable qu\u2019ils paniquent, puis s\u2019inqui\u00e8tent, et commencent finalement \u00e0 chercher une solution pour r\u00e9cup\u00e9rer leurs donn\u00e9es sans payer la ran\u00e7on demand\u00e9e par les cybercriminels (ce qui serait inutile de toute fa\u00e7on<\/a>). En d\u2019autres termes, ils font une recherche sur Google ou demandent conseil sur les r\u00e9seaux sociaux. C\u2019est exactement ce que les cr\u00e9ateurs du cheval de Troie Zorab<\/a> attendent d\u2019eux, puisqu\u2019ils ont cach\u00e9 le malware dans un outil qui pr\u00e9tend aider les victimes de STOP\/Djvu.<\/p>\n

App\u00e2t utilis\u00e9 : faux outil de d\u00e9chiffrement de STOP<\/h2>\n

Les cybercriminels ont d\u00e9cid\u00e9 d\u2019exacerber les probl\u00e8mes que les victimes du ransomware STOP\/Djvu rencontrent d\u00e9j\u00e0, puisque ce dernier chiffre les donn\u00e9es et, suivant la version, assigne une extension aux fichiers modifi\u00e9s\u00a0: .djvu, .djvus, .djvuu, .tfunde, et .uudjvu. Les cr\u00e9ateurs de Zorab ont publi\u00e9 un outil qui d\u00e9chiffre soi-disant les fichiers, alors qu\u2019en r\u00e9alit\u00e9 il les chiffre \u00e0 nouveau.<\/p>\n

Vous pouvez en effet d\u00e9chiffrer les fichiers affect\u00e9s par les versions ant\u00e9rieures de STOP puisque Emsisoft a publi\u00e9 un outil<\/a> en octobre 2019. Les versions modernes utilisent un algorithme de chiffrement plus fiable que les technologies actuelles ne peuvent pas d\u00e9chiffrer. Par cons\u00e9quent, il n\u2019existe actuellement aucun outil de d\u00e9chiffrement pour les versions modernes de STOP\/Djvu.<\/p>\n

Nous avons bien dit \u00ab\u00a0actuellement\u00a0\u00bb puisque les outils de d\u00e9chiffrement apparaissent d\u2019une fa\u00e7on ou d\u2019une autre : soit les cybercriminels commettent une erreur dans l\u2019algorithme de chiffrement (ou utilisent tout simplement un code secret faible), soit la police localise et saisit leurs serveurs. Il est vrai que les cr\u00e9ateurs pourraient volontairement publi\u00e9s les cl\u00e9s mais cela est tr\u00e8s hasardeux. De plus, m\u00eame s\u2019ils le faisaient, les entreprises de s\u00e9curit\u00e9 de l\u2019information doivent tout de m\u00eame cr\u00e9er un outil pratique que les victimes puissent utiliser pour restaurer leurs donn\u00e9es. C\u2019est ce qui s\u2019est pass\u00e9 avec les cl\u00e9s des fichiers infect\u00e9s par le ransomware Shade, et pour lequel nous avons publi\u00e9 un programme de d\u00e9chiffrement en avril de cette ann\u00e9e<\/a>.<\/p>\n

Comment savoir si un outil de d\u00e9chiffrement est malveillant<\/h2>\n

Il est peu probable que ceux qui vous veulent du bien de fa\u00e7on anonyme cr\u00e9ent un outil de d\u00e9chiffrement et le publient sur un site inconnu, ou partagent le lien directement sur un forum ou sur les r\u00e9seaux sociaux. Vous pouvez trouver de v\u00e9ritables solutions sur les sites officiels des entreprises de s\u00e9curit\u00e9 de l\u2019information, ou sur les pages sp\u00e9cialis\u00e9es qui se consacrent \u00e0 la lutte contre les ransomwares, comme nomoreransom.org<\/a>. Faites preuve de suspicion \u00e0 l\u2019\u00e9gard des outils fournis par d\u2019autres personnes.<\/p>\n

Les cybercriminels misent sur la panique et savent qu\u2019une personne ayant perdu ses fichiers \u00e0 cause d\u2019un outil de chiffrement va se raccrocher au moindre espoir. M\u00eame si vous pensez qu\u2019un outil est de bonne foi, vous devez garder votre sang-froid, \u00eatre objectif et v\u00e9rifier attentivement l\u2019authenticit\u00e9 du site. Si vous avez un quelconque doute quant \u00e0 sa l\u00e9gitimit\u00e9, n\u2019utilisez pas l\u2019outil et quittez la page.<\/p>\n

Comment vous prot\u00e9ger de Zorab et d\u2019autres ransomwares<\/h2>\n