![\"MarsJoke:](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/10\/06093546\/polyglot-decryptor-1-1024x672.jpg\")
<\/a><\/p>\nEn r\u00e9alit\u00e9, une multitude de versions diff\u00e9rentes existent, les d\u00e9veloppeurs de ransomwares ayant commenc\u00e9 \u00e0 les r\u00e9p\u00e9ter ou \u00e0 copier le travail d\u2019autres. Par exemple, le cheval de Troie \u00e0 chiffrement Polyglot<\/a> alias MarsJoke, qui a \u00e9t\u00e9 d\u00e9couvert r\u00e9cemment, est une imitation de l\u2019inf\u00e2me ransomware (qui plus est \u00e9pouvantable) CTB-Locker<\/a>.<\/p>\n On peut constater des traces de CTB-Locker partout dans Polyglot. Son interface fait incroyablement penser au ransomware. Il change le fond d\u2019\u00e9cran d\u2019ordinateur de la m\u00eame fa\u00e7on et tout comme CTB-Locker, permet aux victimes de d\u00e9chiffrer cinq fichiers gratuitement comme preuve qu\u2019ils peuvent \u00eatre d\u00e9chiffr\u00e9s.<\/p>\n Les instructions de Polyglot aux victimes sont \u00e9galement identiques \u00e0 celles de CTB-Locker, le texte semble avoir \u00e9t\u00e9 copi\u00e9 et coll\u00e9. M\u00eame la fen\u00eatre \u00ab\u00a0Request failed \u00a0\u00bb qui appara\u00eet lorsqu\u2019il n\u2019y a pas de connexion Internet semble la m\u00eame.<\/p>\n Les algorithmes de chiffrement qu\u2019utilise Polyglot sont aussi les m\u00eames, et ils sont plut\u00f4t forts.<\/p>\n Polyglot est largement envoy\u00e9 sous la forme d\u2019un spam, les e-mails contiennent des liens malveillants cens\u00e9s rediriger vers des documents importants. Bien \u00e9videmment, il n\u2019y a pas de documents, juste un fichier ex\u00e9cutable malveillant. Une fois install\u00e9, Polyglot se connecte au serveur de commande et contr\u00f4le pour envoyer des informations concernant l\u2019ordinateur infect\u00e9 et toucher la ran\u00e7on. En ce qui nous concerne, il nous a demand\u00e9 0.7 bitcoins, l\u2019\u00e9quivalent de 320$.<\/p>\n L\u2019unique diff\u00e9rence visuelle entre CTB-Locker et son nouveau clone est sans doute que MarsJoke\/Polyglot laisse les fichiers chiffr\u00e9s avec leurs extensions originales, tandis que CTB-Locker changeait l\u2019extension, g\u00e9n\u00e9ralement \u00e0 .ctbl ou .ctb2.<\/p>\n Malgr\u00e9 les ressemblances apparentes entre Polyglot et CTB-Locker, ce sont deux types de malwares compl\u00e8tement diff\u00e9rents. Ils ne partagent presque aucun code. Nos experts pensent qu\u2019en imitant l\u2019apparence de CTB-Locker, les d\u00e9veloppeurs de Polyglot voulaient induire en erreur les sp\u00e9cialistes.<\/p>\n Comme vous le savez sans doute, il n\u2019existe pas de m\u00e9thode connue pour d\u00e9chiffrer des fichiers chiffr\u00e9s par CTB-Locker sans payer la ran\u00e7on. Mais encore une fois, Polyglot et CTB-Locker ne sont pas les m\u00eames. Et heureusement, les d\u00e9veloppeurs de Polyglot ont fait une erreur avec le g\u00e9n\u00e9rateur de la cl\u00e9, ce qui a permis aux chercheurs de Kaspersky Lab de trouver une cl\u00e9 de d\u00e9chiffrement gratuite, un outil gratuit qui permet de d\u00e9chiffrer tous les fichiers endommag\u00e9s.<\/p>\n Pour d\u00e9chiffrer les fichiers chiffr\u00e9s par Polyglot\/MarsJoke, t\u00e9l\u00e9chargez gratuitement l\u2019utilitaire RannohDecryptor (version 1.9.3.0 ou plus r\u00e9cente) sur noransom.kaspersky.com<\/a>. Gr\u00e2ce \u00e0 lui, vos fichiers seront restaur\u00e9s.<\/p>\n Pour tout vous dire, nous avons eu de la chance avec Polyglot\/MarsJoke. Les d\u00e9veloppeurs de malwares ne cessent d\u2019adapter et d\u2019am\u00e9liorer leurs cr\u00e9ations. Par exemple, apr\u00e8s avoir r\u00e9solu CryptXXX<\/a> trois fois, son cr\u00e9ateur avait fini par ajuster l\u2019algorithme de chiffrement de fa\u00e7on \u00e0 ce que nos utilitaires ne puissent pas le manipuler. Peut-\u00eatre que les d\u00e9veloppeurs de Polyglot r\u00e9ussiront \u00e0 faire la m\u00eame chose de sorte que les utilitaires de d\u00e9chiffrement gratuits ne soient plus une protection fiable contre les ransomwares.<\/p>\n<\/a><\/p>\n<\/a><\/p>\n