Emsisoft plublie un déchiffreur gratuit pour contrer le rançongiciel OpenToYou

Emsisoft plublie un déchiffreur gratuit pour contrer le rançongiciel OpenToYou

Fabian Wosar, chercheur et directeur technique chez Emsisoft, a créé un déchiffreur visant le dernier rançongiciel en date OpenToYou, qui permettra aux victimes de ce dernier de récupérer leurs fichiers chiffrés sans devoir payer de rançon.

Le nom du rançongiciel fait référence à l’adresse e-mail à laquelle les cybercriminels veulent que les victimes prennent contact avec eux ([email protected]) ainsi qu’à l’extension du fichier apparaissant à la fin de chaque fichier chiffré (.[email protected]).

Processus d’infection d’OpenToYou

Au moment d’infecter l’ordinateur, le rançongiciel OpenToYou créé une chaîne de mot de passe puis, via SHA-1, il produit une clé de chiffrement à partir dudit mot de passe qu’il utilisera pour chiffrer les fichiers des victimes grâce à l’algorithme de chiffrement RC4.

Le rançongiciel cible 242 types de fichiers pour chiffrement. Les extensions de fichiers suivantes sont ciblées :

*.3ds,*.3fr,*.4db,*.7z,*.7zip,*.accdb,*.accdt,*.aes,*.ai,*.apk,*.arch00,*.arj,*.arw,
*.asset,*.avi,*.bar,*.bay,*.bc6,*.bc7,*.big,*.bik,*.bkf,*.bkp,*.blob,*.bpw,*.bsa,
*.cas,*.cdr,*.cer,*.cfr,*.cr2,*.crp,*.crt,*.crw,*.css,*.csv,*.d3dbsp,*.das,*.dazip,
*.db0,*.dba,*.dbf,*.dbx,*.dcr,*.der,*.desc,*.dmp,*.dng,*.doc,*.docm,*.docx,*.dot,
*.dotm,*.dotx,*.dwfx,*.dwg,*.dwk,*.dxf,*.dxg,*.eml,*.epk,*.eps,*.erf,*.esm,*.ff,*.flv,
*.forge,*.fos,*.fpk,*.fsh,*.gdb,*.gho,*.gpg,*.gxk,*.hkdb,*.hkx,*.hplg,*.hvpl,*.ibank,
*.icxs,*.idx,*.ifx,*.indd,*.iso,*.itdb,*.itl,*.itm,*.iwd,*.iwi,*.jpe,*.jpeg,*.jpg,*.js,
*.kdb,*.kdbx,*.kdc,*.key,*.kf,*.ksd,*.layout,*.lbf,*.litemod,*.lrf,*.ltx,*.lvl,*.m2,
*.m3u,*.m4a,*.map,*.max,*.mcmeta,*.mdb,*.mdbackup,*.mddata,*.mdf,*.mef,*.menu,*.mlx,
*.mov,*.mp3,*.mp4,*.mpd,*.mpp,*.mpqge,*.mrwref,*.myo,*.nba,*.nbf,*.ncf,*.nrw,*.nsf,
*.ntl,*.nv2,*.odb,*.odc,*.odm,*.odp,*.ods,*.odt,*.ofx,*.orf,*.p12,*.p7b,*.p7c,*.pak,
*.pdb,*.pdd,*.pdf,*.pef,*.pem,*.pfx,*.pgp,*.pkpass,*.png,*.ppj,*.pps,*.ppsx,*.ppt,
*.pptm,*.pptx,*.prproj,*.psd,*.psk,*.pst,*.psw,*.ptx,*.py,*.qba,*.qbb,*.qbo,*.qbw,
*.qdf,*.qfx,*.qic,*.qif,*.raf,*.rar,*.raw,*.rb,*.re4,*.rgss3a,*.rim,*.rofl,*.rtf,
*.rw2,*.rwl,*.saj,*.sav,*.sb,*.sdf,*.sid,*.sidd,*.sidn,*.sie,*.sis,*.sko,*.slm,*.snx,
*.sql,*.sr2,*.srf,*.srw,*.sum,*.svg,*.sxc,*.syncdb,*.t12,*.t13,*.tar,*.tax,*.tbl,
*.tib,*.tor,*.txt,*.upk,*.vcf,*.vdf,*.vfs0,*.vpk,*.vpp_pc,*.vtf,*.w3x,*.wallet,*.wb2,
*.wdb,*.wma,*.wmo,*.wmv,*.wotreplay,*.wpd,*.wps,*.x3f,*.xf,*.xlk,*.xls,*.xlsb,*.xlsm,
*.xlsx,*.xml,*.xxx,*.zip,*.ztmp

En outre, OpenToYou chiffre également les fichiers sans extension.

Le rançongiciel verrouillera les fichiers sur tous les disques, à l’exception des dossiers suivants :

C:\$Recycle.Bin
C:\Logs
C:\Users\All Users
C:\Windows
C:\ProgramData
C:\Program Files
C:\Program Files (x86)
C:\nvidia
C:\intel
C:\Boot
C:\bootmgr
C:\PerfLogs
C:\Drivers
C:\MSOCache
C:\Program instal
%USERPROFILE%\AppData

Malheureusement, cette liste d’exception contient une erreur car “C:\bootmgr” n’est pas un dossier mais un fichier.

C’est ce manquement de la part du créateur d’OpenToYou qui engendre des situations lors desquelles le rançongiciel chiffre le chargeur de démarrage “bootmgr” sur les systèmes sous Windows qui utilisent MBR pour le démarrage. Les victimes dont les ordinateurs sont touchés se retrouvent alors dans l’impossibilité de redémarrer leur PC au prochain allumage.

Une fois le processus de chiffrement terminé, le rançongiciel remplace le fond d’écran de l’utilisateur par l’image suivante :

OpenToYou-demande-de-rançon

Au même moment, OpenToYou enregistre un fichier appelé !!!.txt sur le bureau du PC de l’utilisateur. Ce fichier contient une version écrite de la demande de rançon, comme indiquée ci-dessous :

Your files are encrypted!
To decrypt write on email – [email protected]
Identification key – 5E1C0884

[Vos fichiers sont chiffrés !

Pour les déchiffrer, écrivez sur (sic) e-mail – [email protected]

Clé d’identification – 5E1C0884]

La suite “5E1C0884”, reprise dans la demande de rançon, correspond à l’identifiant des victimes ; elle doit absolument être envoyée à l’auteur du rançongiciel via e-mail. Cet identifiant correspond au disque C de chaque ordinateur car il correspond à son numéro de série de volume.

Numéro-de-série-de-volume-OpenToYou
Au moment où nous publions cet article, le rançongiciel semble être en cours de développement. Nous arrivons à cette conclusion car le rançongiciel crée un dossier appelé “C:\Logs\” qui permet de stocker des fichiers temporaires et des données de débogage.

Le contenu de ce dossier est toujours le même, et sa présence est un signe qui permet de détecter les infections par le rançongiciel OpenToYou à leurs balbutiements.

C:\Logs\1.bmp      [le fond d'écran du bureau]
C:\Logs\1.jpg      [le fond d'écran du bureau]
C:\Logs\AllFilesList.ini
C:\Logs\Log.ansi.txt
C:\Logs\Log.UTF-16LE.txt

Les victimes de ce rançongiciel peuvent récupérer leurs données en utilisant le déchiffreur OpenToYou développé par Emsisoft et disponible au téléchargement sur notre site.

Emsisoft-OpenToYou-Déchiffreur

Il n’est pas rare de voir des rançongiciels en cours de développement être analysés et déchiffrés avant diffusion auprès des utilisateurs via spam ou campagnes de pourriciels. Si votre système est compromis par une version de ce rançongiciel, n’hésitez pas à contacter l’équipe de chercheurs d’Emsisoft pour qu’ils vous viennent en aide.

Les internautes qui utilisent l’Emsisoft Anti-Malware ou l’Emsisoft Internet Security sont protégés pro-activement de cette menace car la technologie d’Emsisoft Analyse de comportement a déjà été en mesure de la bloquer :

OpenToYou-Détection

Cet article se fonde sur un échantillon d’OpenToYou comprenant le hachage SHA-256 suivant : 3363542a8224cb7624b699fbcc34143c80ad1063196763b9fea0e6f45091454c.

  • Nety Pepin

    Mon server windows 2008 R2 à été infeccter par rançongiciel w depuis toute mes donnée sont crypter je cherche les différent vois et moyen de ressoudre mon problème administrateur d’une petite PME en AFRIQUE.