Kaspersky Lab Publie des Clés de Décryptage Gratuites Pour les Victimes des Ransomwares CoinVault et Bitcryptor

14 000 Clés de Décryptage Pour CoinVault, Bitcryptor Ransomware Publiées Par Kaspersky Pour les Victimes de Ransomware

Kaspersky Lab a annoncé la fin des variantes de ransomware, CoinVault et Bitcryptor, en publiant plus de 14 000 clés de décryptage nécessaires pour déverrouiller les fichiers cryptés par ces variantes, offrant ainsi aux victimes la possibilité de récupérer leurs fichiers gratuitement.

Le ransomware est un type de code malveillant particulièrement virulent qui se propage par le biais de téléchargements, de campagnes de phishing et de liens malveillants. Une fois qu’un système est infecté, un écran de verrouillage apparaît et tous les fichiers sur l’appareil sont cryptés.

La société de cybersécurité a d’abord découvert les attaques CoinVault en mai 2014. Depuis lors, ce ransomware agressif qui crypte fortement les fichiers de données sur les ordinateurs infectés et exige un paiement en Bitcoin pour les clés de décryptage a fait plus de 1 500 victimes dans plus de 108 pays. Les pays qui ont été durement touchés par les attaques de malware incluent les Pays-Bas, l’Allemagne, les États-Unis, la France et le Royaume-Uni. Le ransomware a également offert aux victimes un « décryptage gratuit » pour expliquer comment les auteurs de CoinVault pouvaient effectivement déverrouiller les fichiers cryptés.

Le programme de ransomware de cryptage de fichiers CoinVault a été documenté pour la première fois par les chercheurs de Kaspersky en novembre 2014. Ensuite, en avril, l’Unité nationale de lutte contre la criminalité technologique (NHTCU) de la police néerlandaise a récupéré certaines clés de décryptage d’un serveur CoinVault saisi.

Après ce raid, les auteurs du programme ont pris une pause, car la campagne de malware CoinVault a continué largement sans être découragée. Cependant, ils ont finalement lancé une nouvelle version appelée Bitcryptor, une version de deuxième génération de CoinVault. Mais, en septembre de cette année, la NHTCU a subi un coup dur lorsque la police néerlandaise a arrêté un jeune homme de 18 ans et un autre de 22 ans en lien avec les attaques de ransomware.

Après que la police ait eu accès à l’infrastructure des cybercriminels, les experts de Kaspersky Lab ont pu extraire toutes les clés de décryptage restantes de CoinVault et Bitcryptor des serveurs de commande et de contrôle (C&C) de CoinVault qui contenaient, entre autres, des clés de décryptage, des vecteurs d’installation (IVs) et des portefeuilles Bitcoin privés, et les publier sur le site noransom.kaspersky.com.

Pour étudier davantage CoinVault, les chercheurs de Kaspersky ont utilisé ces ressources, et une analyse a révélé que le ransomware utilise le mode de chiffrement par blocs CFB ainsi que l’AES 256 bits, entre autres.

Ces découvertes ont permis à la société de sécurité de télécharger un ensemble d’environ 750 clés dans son service de décryptage de ransomware en avril de cette année, qui ont été récupérées sur des serveurs hébergés aux Pays-Bas. Maintenant, toutes les 14 000 clés de décryptage sont disponibles via l’outil de ransomware de Kaspersky.

Une coalition d’entreprises de sécurité qui a enquêté sur l’un des programmes de ransomware les plus répandus, CryptoWall 3.0, a permis à ses auteurs de gagner environ 325 millions de dollars en extorquant des victimes. Les chercheurs affirment qu’au moins 400 000 tentatives d’infection ont été effectuées au cours de 49 campagnes CryptoWall 3.0.

Ces découvertes ont permis à la société de sécurité de publier plus de 700 clés de décryptage en avril de cette année. Maintenant, Kaspersky a publié toutes les 14 000 clés.

« L’Unité nationale de lutte contre la criminalité technologique (NHTCU) de la police néerlandaise, le Bureau national des procureurs des Pays-Bas et Kaspersky Lab ont travaillé ensemble pour lutter contre les campagnes de ransomware CoinVault et Bitcryptor », lit une page qui héberge l’outil de décryptage de Kaspersky. « Au cours de notre enquête conjointe, nous avons obtenu des données qui peuvent vous aider à déchiffrer les fichiers retenus en otage sur votre PC. Nous sommes maintenant en mesure de partager une nouvelle application de décryptage qui déchiffrera automatiquement tous les fichiers pour les victimes de Coinvault et Bitcryptor. Pour plus d’informations, veuillez consulter ce guide pratique. Nous considérons cette affaire comme close. Les auteurs du ransomware sont arrêtés et toutes les clés existantes ont été ajoutées à notre base de données. »

Les utilisateurs qui pensent avoir été affectés par CoinVault peuvent accéder directement à la clé de décryptage ici.