Décodeur disponible pour HydraCrypt et UmbreCrypt

  • février 12, 2016
  • 3 min read

Plus tôt ce mois-ci, il est arrivé aux oreilles de nos chercheurs que deux nouvelles familles de logiciels malveillants étaient distribuées par le biais de kits d’exploit : HydraCrypt et UmbreCrypt. Après une analyse rapide, il s’est avéré que les deux familles sont étroitement liées à la famille du rançongiciel CrypBoss dont le code source avait été divulgué sur PasteBin l’année dernière. Alors que l’on note, autant pour HydraCrypt que pour UmbreCrypt, certaines modifications d’implémentation dans le système de cryptage, la faille originelle qui nous avait permis de décoder CrypBoss l’année dernière nous a permis cette fois-ci de déjouer HydraCrypt et UmbreCrypt.

Malheureusement, les modifications apportées par les auteurs de HydraCrypt et d’UmbreCrypt font que jusqu’à 15 octets en fin du fichier sont endommagés irrémédiablement. Cependant, pour la plupart des formats de fichiers, les derniers octets de fin ne sont pas essentiels ou peuvent être réparés assez facilement en ouvrant simplement les fichiers et en les enregistrant. Pour les autres formats de fichiers, certains outils de réparation et de récupération dédiés peuvent s’avérer utiles.

Afin de déterminer la bonne clé de déchiffrement pour votre système, il faudra que vous aidiez un peu le décodeur. Recherchez un fichier crypté sur votre système, et sa version d’origine non crypté. Si vous ne trouvez aucune de ces paires, recherchez un fichier PNG crypté, et trouvez sur Internet n’importe quelle image au format PNG. Sélectionnez-les, puis faites glisser et déposez en même temps, les deux les fichiers non cryptés et cryptés sur l’exécutable de décodeur. Si vous n’êtes pas sûr de comprendre, jetez un rapide coup d’œil à cette petite animation :

Il vous suffit de faire glisser et déposer un fichier crypté et sa version non cryptée, ou un fichier PNG crypté et toute image au format PNG, dans le décodeur.

Il vous suffit de faire glisser et déposer un fichier crypté et sa version non cryptée, ou un fichier PNG crypté et toute image au format PNG, dans le décodeur.

Le décodeur tentera ensuite de définir la clé de chiffrage pour votre système sur base des deux fichiers fournis. Ce processus peut prendre un certain temps et, selon votre UC et votre système, peut même prendre plusieurs jours.

Une fois la clé de déchiffrage définie, vous recevrez un message comme celui-ci :

 

Le message que vous recevez après que le décodeur ait déterminé la bonne clé pour votre système.

Le message que vous recevez après que le décodeur ait déterminé la bonne clé pour votre système.

Cliquez sur OK et le décodeur se lancera. Si, au lieu de cela, vous recevez un message d’erreur, assurez-vous d’avoir fait glisser et déposé les bons fichiers. Si tel est le cas, il se peut que le logiciel malveillant dont vous êtes la victime soit d’une autre famille ou qu’il s’agisse bien des familles susmentionnées, mais d’une nouvelle variante pas encore prise en charge par le décodeur.

Tous les dossiers que vous ajoutez à la liste de décodage, seront déchiffrés tout à tour. Cela signifie que les fichiers situés dans les sous-dossiers d’un dossier sélectionné, seront eux aussi décodés.

Dans tous les cas, nous vous suggérons d’utiliser tout d’abord le décodeur sur un nombre limité de fichiers ; ensuite vérifiez manuellement les dossiers afin de vous assurer qu’ils ont bien été déchiffrés, avant de lancer un décryptage plus conséquent. Vous vous assurez ainsi que le décodeur exécute la bonne clé, ce qui peut vous faire gagner beaucoup de temps au cas où l’auteur du logiciel malveillant dont vous êtes la victime ait modifié l’algorithme de chiffrage dans une variante plus récente, non prise en charge par le décodeur.

Malheureusement, le logiciel malveillant ne laisse derrière lui aucune information du fichier original dans lequel il se cache. Cela signifie que le décodeur ne peut être certain que les résultats de déchiffrage sont corrects. C’est pour cette raison que, par mesure de sécurité, le décodeur ne supprimera pas les fichiers cryptés. Par conséquent, avant de lancer le déchiffrage, veillez à avoir assez d’espace libre sur votre disque. Si vous pensez ne pas en avoir assez et n’êtes pas en mesure d’en libérer, le décodeur propose une option de suppression des versions cryptées des fichiers une fois ces fichiers décodés. Toutefois, nous ne recommandons pas que vous l’utilisiez.

Téléchargez notre décodeur pour HydraCrypt et UmbreCrypt ici :

 

http://emsi.at/DecryptHydraCrypt

Si vous avez besoin que nous vous aidions à procéder au décryptage sur votre système ou si le décodeur ne fonctionne pas dans votre cas, n’hésitez pas à contacter notre équipe de l’assistance.

Fran Rajewski

What to read next

Reader Comments