Bulletins

Une clé de déchiffrement principale libérée par le groupe de ransomware FonixCrypter

bs1.jpg

Le groupe de pirates derrière le ransomware FonixCrypter a déclaré qu’ils avaient supprimé le code source de leur ransomware. En effet, le groupe de pirates a décidé d’annoncer la nouvelle sur Twitter. Le groupe a aussi publié un paquet qui contenait un outil de décryptage, des instructions pratiques ainsi que la clé de décryptage principale du ransomware, le tout destiné à leurs anciennes victimes. De ce fait, les anciens utilisateurs infectés peuvent utiliser ces fichiers afin de déchiffrer et récupérer leurs fichiers gratuitement, sans devoir payer pour une clé de déchiffrement.

Un chercheur en sécurité chez Recorded Future appelé Allan Liska a testé le décrypteur et a vérifié le bon fonctionnement de l’application FonixCrypter, des instructions et de la clé principale. Selon les propos de Liska : « La clé de déchiffrement fournie par les acteurs derrière le ransomware Fonix semble être légitime, pensant qu'elle nécessite que chaque fichier soit déchiffré individuellement ». Il a aussi ajouté : « Le plus important est qu'ils aient inclus la clé principale, ce qui devrait permettre à quelqu'un de créer un bien meilleur outil de décryptage ».

La société Emisisoft travaille en ce moment sur un meilleur décrypteur qui devrait être publié très prochainement, selon Michael Gillespie, un chercheur en sécurité d’Emisisoft spécialisé dans la rupture du cryptage des ransomwares. Il est recommandé aux utilisateurs d’attendre le décrypteur d’Emisisoft au lieu d’utiliser celui fourni par le groupe FonixCrypter, qui pourrait facilement cacher d’autres logiciels malveillants, comme des portes dérobées, que les victimes risqueraient d’installer sur leurs systèmes.