Chargement...

1 mai 2015 1,368 vues

Utilitaire Cisco TeslaDecrypt

Un outil de déchiffrement pour le ransomware TeslaCrypt

En mars 2015, un nouveau type de ransomware a affecté des milliers d'utilisateurs. Il chiffre toutes sortes de documents, bases de données, photos et même certains fichiers de jeux, et pour la plupart, la seule option serait de récupérer à partir d'une sauvegarde précédente. Heureusement, certaines personnes chez Cisco ont inversé le processus et ont proposé un utilitaire au moins partiellement fonctionnel - le TeslaDecrypt.

TeslaCrypt ransomware

En mars 2015, un nouveau type de ransomware a affecté des milliers d'utilisateurs. Nommé TeslaCrypt, le successeur spirituel du ransomware Cryptolocker, il chiffre plus de 180 types de fichiers différents sur l'ordinateur des victimes et exige un paiement pour la clé de déchiffrement.

Comment ça marche ?

Ce ransomware affecte toutes sortes de documents, bases de données, photographies, fichiers multimédias ainsi que les fichiers liés à Steam ou iTunes. Tout ce que vous verrez est que l'extension de votre fichier est renommée en .ecc et un fichier texte HELP_RESTORE_FILES.txt dans chaque dossier affecté. 

Vous verrez également un écran comme celui ci-dessous et vous saurez que vous êtes vraiment dans une mauvaise situation. Mais il y a une chance que vous fassiez partie des rares chanceux qui peuvent récupérer leurs données.

A typical TeslaCrypt ransomware window

Bien que TeslaCrypt affirme utiliser l'algorithme de chiffrement asymétrique RSA-2048, il utilise en fait « seulement » l'AES symétrique. Ce qui est une bonne chose car cela signifie que la même clé est utilisée pour les procédures de chiffrement et de déchiffrement. Cela a permis aux personnes de Cisco de développer un outil de déchiffrement. Il n'est pas parfait et ne fonctionne pas toujours, mais c'est au moins un succès partiel.

Comment ça marche ? Eh bien, certaines versions du malware placent un fichier key.dat sur la machine cible et à partir de ce fichier une clé maîtresse peut être récupérée. Si vous n'avez pas un tel fichier sur votre ordinateur, vous êtes toujours dans une mauvaise situation. Le jargon technique autour de cela est que le key.dat a déjà été envoyé au serveur du ransomware et qu'il n'est pas si facile de générer un effet inverse.

Utilitaire de déchiffrement TeslaCrypt

Vous pouvez télécharger l'utilitaire de déchiffrement TeslaCrypt ainsi que les instructions depuis les blogs Cisco. C'est un utilitaire en ligne de commande disponible en trois formats : binaire Windows, source du binaire Windows ou script Python.

Peut-être que l'avenir apportera d'autres utilitaires pour récupérer vos données, mais pour l'instant votre meilleure protection est d'effectuer des sauvegardes régulières de vos fichiers cruciaux.