Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Un déchiffreur pour le ransomware PyLocky

Ils sont un peu moins visibles dans les médias en ce moment, mais les ransomwares ont toujours le vent en poupe.

Prenez par exemple PyLocky. Celui-ci est développé en Python et comme les autres, il chiffre tous les fichiers sur le disque dur de sa victime, avant de demander une rançon.

Si je vous parle de PyLocky, c’est d’abord parce qu’il se répand beaucoup en Europe et notamment en France.

Peut-être en avez-vous été victime ?

La bonne nouvelle, c’est que la société Talos (Cisco) a mis au point un déchiffreur qui va vous permettre de sauver vos fichiers si vous n’avez pas eu le réflexe de faire des sauvegardes correctes.

Lorsque PyLocky se lance, il génère un ID et un mot de passe aléatoire et récupère des informations sur la machine infectée. Il génère ensuite un vecteur d’initialisation aléatoire (IV) encodé en base64 et envoyé avec le reste des infos au serveur de contrôle (C2).

Une fois les chemins d’accès à tous les fichiers récupérés, le chiffrement se met en route, en combinant le vecteur d’initialisation et le mot de passe. Ainsi chaque fichier est d’abord encodé en base64 avant d’être chiffré, puis une extension .lockedfile est attribué à chaque fichier. Le fichier original quand a lui est remplacé par un document contenant les instructions pour payer la rançon.

L’outil de Talos fonctionne sous Windows et exige de connaitre toutes les infos envoyées au serveur C2 pour pouvoir déchiffrer les fichiers. C’est pourquoi le déchiffrement ne sera possible que si vous avez le fichier PCAP (capture du trafic réseau) de votre machine infectée.

Voici le type d’infos que le déchiffreur recherchera dans le fichier PCAP :

PCNAME=NAME&IV=KXyiJnifKQQ%3D%0A&GC=VGA+3D&PASSWORD=CVxAfel9ojCYJ9So&CPU=Intel%28R%29+Xeon%28R%29+CPU+E5-1660+v4+%40+3.20GHz&LANG=en_US&INSERT=1&UID=XXXXXXXXXXXXXXXX&RAM=4&OSV=10.0.16299+16299&MAC=00%3A00%3A00%3A00%3A45%3A6B&OS=Microsoft+Windows+10+Pro

Comme vous pouvez le voir, ce message POST contient le vecteur d’initialisation (IV) et le mot de passe. Cela sera utilisé par le déchiffreur pour restaurer vos fichiers.

Si vous avez le PCAP qui va bien, et que vous voulez déchiffrer vos documents, je vous invite à télécharger le déchiffreur PyLocky ici.


Ce que la 5g d’Ericsson va nous permettre d’accomplir

Depuis des années, nous nous efforçons d’être un acteur phare dans le développement et la mise en place des nouveaux réseaux 5G. Pour montrer les capacités de ce nouveau réseau, nous avons mis en scène des usages variés au travers de plusieurs personnalités comme Haben Girma, une avocate qui défend les droits des personnes non/mal-voyantes et qui se retrouve au volant d’une voiture autonome ou la gameuse AtomicMari qui s’éclate dans un FPS en réalité virtuelle, ainsi que le petit Kevin, champion de glissé-déposé dans son lit en chaise roulante.


Rejoindre la discussion sur Korben Communauté