Un décrypteur gratuit du ransomware MortalKombat a été mis à disposition par la société de cybersécurité Bitdefender afin que les victimes puissent récupérer leurs fichiers sans payer de rançon.

La publication d'un décrypteur fonctionnel pour cette variante particulière vient juste après son apparition initiale en janvier 2023, lorsque Cisco Talos a signalé qu'elle ciblait principalement des systèmes aux États-Unis.

Les distributeurs de MortalKombat ciblent des utilisateurs aléatoires avec des e-mails contenant des pièces jointes ZIP malveillantes contenant des scripts BAT loader. Lorsque le script est lancé, il télécharge le binaire du ransomware et le cliqueur Laplas (un malware clippeur qui vérifie le contenu du presse-papiers de la victime à la recherche de portefeuilles de crypto-monnaies) et les exécute sur le système.

Ce craquage rapide est probable car MortalKombat est basé sur Xorist, une famille de ransomware de commodité décryptable depuis 2016.

Le décrypteur MortalKombat est un exécutable autonome, donc les appareils infectés n'ont pas besoin de l'avoir installé. Mais, l'utilisateur peut éventuellement fournir un endroit spécifique détenant des données cryptées sauvegardées. Il propose d'analyser l'ensemble du système de fichiers pour trouver les fichiers infectés par MortalKombat.

En cas de problème lors du processus de décryptage, le logiciel permet également aux utilisateurs de créer une sauvegarde des fichiers cryptés afin de ne pas se retrouver avec des données corrompues et irrécupérables.

Il est également possible de remplacer les fichiers précédemment décryptés - résultats de tentatives de décryptage partiellement réussies - par des copies fraîches et non modifiées.

La déclaration de Bitdefender souligne également la capacité de l'outil à être lancé à partir de la ligne de commande, ce qui le rend parfait pour les entreprises qui peuvent avoir besoin d'effectuer des opérations de décryptage de masse sur d'énormes réseaux ou de récupérer des données sur des systèmes d'exploitation corrompus.

Le décrypteur peut être lancé à l'aide de la commande "BDMortalKombatDecryptTool.exe start -full-scan -replace-existing", qui lui demande d'analyser l'ensemble du système de fichiers et de remplacer tous les fichiers existants par de nouvelles copies.

Il convient de noter que l'opérateur du ransomware MortalKombat a été observé déposant une copie du pirate de presse-papiers Laplas sur les machines cibles dans de nombreux cas. Par conséquent, en cas d'infection par MortalKombat, il convient de rechercher les restes de Laplas dans le système.

Le décrypteur de Bitdefender ne peut pas localiser et déraciner les fichiers Laplas, car il s'agit d'une infection malveillante distincte qui peut être détectée à l'aide d'un logiciel antivirus général.