Kaspersky Lab a fait de la protection des utilisateurs contre les ransomwares l'une de ses principales missions. Dans ce cadre, Fedor Sinitsyn, analyste malware senior de Kaspersky Lab, a développé un outil de déchiffrement pour aider les victimes de CryptXXX à récupérer leurs fichiers cryptés. Particulièrement malveillant, le ransomware CryptXXX cible les appareils Windows dans le but de verrouiller des fichiers, copier des données et voler des Bitcoins.

Le ransomware CryptXXX se propage via des spams qui contiennent des pièces jointes infectées ou des liens vers des sites web malicieux. Les pages web hébergeant un Angler Exploit Kit (EK) distribuent CryptXXX. Lors de l'exécution, le ransomware chiffre les fichiers présents sur le système infecté et ajoute une extension .crypt à leur nom. Les victimes sont informées que leurs fichiers ont été chiffrés en utilisant RSA-4096 ?? un algorithme de chiffrement fort ?? et une rançon en Bitcoins leur est demandée s'ils souhaitent récupérer leurs données.

Avec plus de 50 familles de ransomwares actuellement en circulation, il n'existe pas d'algorithme universel qui permettrait de bloquer ou contrôler leurs attaques. Cependant, dans le cas de CryptXXX, les criminels se targuaient d'utiliser RSA-4096, ce qui a permis à Kaspersky Lab de développer un outil de déchiffrement qui est disponible gratuitement ici :

Dernière minute ! Cette outil vient d'être mis à jour pour lutter contre la version 2 de ce malware. Plus de détails ici :

Grâce au travail des experts de Kaspersky Lab, lesvictimes de CryptXXX peuvent maintenant récupérer leurs fichiers sans avoir à payer de rançon. Pour déchiffrer les fichiers infectés, l'outil de Kaspersky Lab aura besoin d'une version originale, c'est-à-dire non chiffrée, d'au moins un fichier touché par CryptXXX.

Les produits Kaspersky Lab détectent l'exploit kit sous les noms :

  • HEUR:Exploit.SWF.Agent.gen,
  • PDM:Exploit.Win32.Generic
  • HEUR:Exploit.Script.Generic.

J'en profite pour vous signaler un autre site non Kaspersky Lab mais très efficace sur d'autres ransomwares :

Infos / tutos :