Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Un déchiffreur pour le ransomware PyLocky

Ils sont un peu moins visibles dans les médias en ce moment, mais les ransomwares ont toujours le vent en poupe.

Prenez par exemple PyLocky. Celui-ci est développé en Python et comme les autres, il chiffre tous les fichiers sur le disque dur de sa victime, avant de demander une rançon.

Si je vous parle de PyLocky, c’est d’abord parce qu’il se répand beaucoup en Europe et notamment en France.

Peut-être en avez-vous été victime ?

La bonne nouvelle, c’est que la société Talos (Cisco) a mis au point un déchiffreur qui va vous permettre de sauver vos fichiers si vous n’avez pas eu le réflexe de faire des sauvegardes correctes.

Lorsque PyLocky se lance, il génère un ID et un mot de passe aléatoire et récupère des informations sur la machine infectée. Il génère ensuite un vecteur d’initialisation aléatoire (IV) encodé en base64 et envoyé avec le reste des infos au serveur de contrôle (C2).

Une fois les chemins d’accès à tous les fichiers récupérés, le chiffrement se met en route, en combinant le vecteur d’initialisation et le mot de passe. Ainsi chaque fichier est d’abord encodé en base64 avant d’être chiffré, puis une extension .lockedfile est attribué à chaque fichier. Le fichier original quand a lui est remplacé par un document contenant les instructions pour payer la rançon.

L’outil de Talos fonctionne sous Windows et exige de connaitre toutes les infos envoyées au serveur C2 pour pouvoir déchiffrer les fichiers. C’est pourquoi le déchiffrement ne sera possible que si vous avez le fichier PCAP (capture du trafic réseau) de votre machine infectée.

Voici le type d’infos que le déchiffreur recherchera dans le fichier PCAP :

PCNAME=NAME&IV=KXyiJnifKQQ%3D%0A&GC=VGA+3D&PASSWORD=CVxAfel9ojCYJ9So&CPU=Intel%28R%29+Xeon%28R%29+CPU+E5-1660+v4+%40+3.20GHz&LANG=en_US&INSERT=1&UID=XXXXXXXXXXXXXXXX&RAM=4&OSV=10.0.16299+16299&MAC=00%3A00%3A00%3A00%3A45%3A6B&OS=Microsoft+Windows+10+Pro

Comme vous pouvez le voir, ce message POST contient le vecteur d’initialisation (IV) et le mot de passe. Cela sera utilisé par le déchiffreur pour restaurer vos fichiers.

Si vous avez le PCAP qui va bien, et que vous voulez déchiffrer vos documents, je vous invite à télécharger le déchiffreur PyLocky ici.



Rejoindre la discussion sur Korben Communauté

Vérifiez la sécurité de votre compte Gmail

Je ne recommande à personne d’utiliser une boite mail Gmail pour tout un tas de raisons liées à l’exploitation des données personnelles, au patriot act, en passant par la lecture automatisée des emails…etc.

Toutefois si vous avez encore un compte Gmail, qui plus est, ancien mais encore en activité, il serait peut-être bien de vérifier la qualité de sa sécurité. …

Lire la suite



Comment bloquer Red Shell, le spyware des gamers

Si vous suivez un peu l’actualité du jeu vidéo, vous n’avez surement pas manqué la polémique Red Shell. Cet outil mis sur le marché en 2017 par la société Innervate est très utilisé par les éditeurs de jeux pour mesurer la quantité de nouvelles installations de leurs jeux générés par une pub Facebook, YouTube ou Twitter.

Lire la suite



Mettre en place un backup de Github

C’est cool de faire confiance à des sites pour conserver nos données, mais il peut arriver à un moment que celles-ci disparaissent. Soit parce que vous ne respectez plus les CGU du site, soit parce que le site a subi une panne vraiment importante et que leur processus de sauvegarde a été négligé, soit parce que vous avez vous-même supprimé vos données par erreur tel un gros boulet (ça arrive souvent aussi, même aux meilleurs).

Lire la suite