Récupérer des fichiers chiffrés par le ransomware PyLocky ? Il y a des outils pour ça.
Cisco en avait publié un en début d’année. On le trouve notamment sur la plate-forme No More Ransom, parmi des dizaines d’autres « déchiffreurs ».
Le ministère de l’Intérieur vient d’en mettre un autre à disposition. Il est plus facile d’utilisation : pas besoin, contrairement à l’utilitaire proposé par Cisco, de disposer du fichier PCAP (capture du trafic réseau) de la machine infectée.
Distribué sous la forme d’une archive Java, le logiciel fonctionne sur Windows (7 et versions ultérieures). Il est capable de récupérer les fichiers chiffrés par la v1 et la v2 de PyLocky. Mais ne décontamine pas les machines (cf. documentation).
Au niveau mondial, PyLocky ne figure plus parmi les familles de rançongiciels les plus actives. En tout cas selon les statistiques de Kaspersky Lab pour le 1er trimestre 2019.
Il en va de même pour Locky*, avec lequel il n’existe pas de lien, malgré la proximité des noms.
Écrit en Python, PyLocky avait fait l’objet d’une alerte du CERT-FR à l’été 2018. Il était alors distribué via des e-mails contenant un lien malveillant. Ce lien, censé permettre de récupérer une facture, téléchargeait en fait un exécutable contenu dans une archive zip elle-même intégrée dans une archive zip.
Une fois installé, PyLocky crée un identifiant, un mot de passe et un vecteur d’initialisation aléatoire. Il récupère des informations sur la machine infectée et envoie le tout à un serveur de contrôle. Le chiffrement peut alors se mettre en marche.
Le ransomware peut modifier le registre Windows afin de s’exécuter automatiquement à chaque ouverture de session. Il dispose de capacités d’évasion des bacs à sable et d’une certaine résistance aux systèmes de détection basés sur des méthodes d’analyse statistique.
* Le groupe NetMediaEurope, éditeur d’ITespresso.fr, avait été victime de Locky en 2016.
Photo d’illustration © drx – Fotolia.com
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…
Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…