PyLocky : un remède made in France pour le ransomware

Récupérer des fichiers chiffrés par le ransomware PyLocky ? Il y a des outils pour ça.

Cisco en avait publié un en début d’année. On le trouve notamment sur la plate-forme No More Ransom, parmi des dizaines d’autres « déchiffreurs ».

Le ministère de l’Intérieur vient d’en mettre un autre à disposition. Il est plus facile d’utilisation : pas besoin, contrairement à l’utilitaire proposé par Cisco, de disposer du fichier PCAP (capture du trafic réseau) de la machine infectée.

Distribué sous la forme d’une archive Java, le logiciel fonctionne sur Windows (7 et versions ultérieures). Il est capable de récupérer les fichiers chiffrés par la v1 et la v2 de PyLocky. Mais ne décontamine pas les machines (cf. documentation).

Ceci n’est pas Locky

Au niveau mondial, PyLocky ne figure plus parmi les familles de rançongiciels les plus actives. En tout cas selon les statistiques de Kaspersky Lab pour le 1^er trimestre 2019.
Il en va de même pour Locky*, avec lequel il n’existe pas de lien, malgré la proximité des noms.

Écrit en Python, PyLocky avait fait l’objet d’une alerte du CERT-FR à l’été 2018. Il était alors distribué via des e-mails contenant un lien malveillant. Ce lien, censé permettre de récupérer une facture, téléchargeait en fait un exécutable contenu dans une archive zip elle-même intégrée dans une archive zip.

Une fois installé, PyLocky crée un identifiant, un mot de passe et un vecteur d’initialisation aléatoire. Il récupère des informations sur la machine infectée et envoie le tout à un serveur de contrôle. Le chiffrement peut alors se mettre en marche.

Le ransomware peut modifier le registre Windows afin de s’exécuter automatiquement à chaque ouverture de session. Il dispose de capacités d’évasion des bacs à sable et d’une certaine résistance aux systèmes de détection basés sur des méthodes d’analyse statistique.

* Le groupe NetMediaEurope, éditeur d’ITespresso.fr, avait été victime de Locky en 2016.

Photo d’illustration © drx – Fotolia.com