Pour gérer vos consentements :

PyLocky : un remède made in France pour le ransomware

Récupérer des fichiers chiffrés par le ransomware PyLocky ? Il y a des outils pour ça.

Cisco en avait publié un en début d’année. On le trouve notamment sur la plate-forme No More Ransom, parmi des dizaines d’autres « déchiffreurs ».

Le ministère de l’Intérieur vient d’en mettre un autre à disposition. Il est plus facile d’utilisation : pas besoin, contrairement à l’utilitaire proposé par Cisco, de disposer du fichier PCAP (capture du trafic réseau) de la machine infectée.

Distribué sous la forme d’une archive Java, le logiciel fonctionne sur Windows (7 et versions ultérieures). Il est capable de récupérer les fichiers chiffrés par la v1 et la v2 de PyLocky. Mais ne décontamine pas les machines (cf. documentation).

Ceci n’est pas Locky

Au niveau mondial, PyLocky ne figure plus parmi les familles de rançongiciels les plus actives. En tout cas selon les statistiques de Kaspersky Lab pour le 1er trimestre 2019.
Il en va de même pour Locky*, avec lequel il n’existe pas de lien, malgré la proximité des noms.

Écrit en Python, PyLocky avait fait l’objet d’une alerte du CERT-FR à l’été 2018. Il était alors distribué via des e-mails contenant un lien malveillant. Ce lien, censé permettre de récupérer une facture, téléchargeait en fait un exécutable contenu dans une archive zip elle-même intégrée dans une archive zip.

Une fois installé, PyLocky crée un identifiant, un mot de passe et un vecteur d’initialisation aléatoire. Il récupère des informations sur la machine infectée et envoie le tout à un serveur de contrôle. Le chiffrement peut alors se mettre en marche.

Le ransomware peut modifier le registre Windows afin de s’exécuter automatiquement à chaque ouverture de session. Il dispose de capacités d’évasion des bacs à sable et d’une certaine résistance aux systèmes de détection basés sur des méthodes d’analyse statistique.

* Le groupe NetMediaEurope, éditeur d’ITespresso.fr, avait été victime de Locky en 2016.

Photo d’illustration © drx – Fotolia.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago