Un nouvel outil aide les victimes à lutter contre le ransomware Bitcoin

MISE À JOUR (17 avril 2015 10:36) :Kaspersky Lab a ajouté un711 clés de décryptage supplémentairesà sa base de données.

Kaspersky Lab a publié un nouvel outil pour aider à libérer les fichiers informatiques « retenus en otage » par le ransomware Bitcoin .

CoinVault, qui a infecté environ 700 ordinateurs aux Pays-Bas, est une souche de malware qui exige une quantité croissante de Bitcoin pour déverrouiller les fichiers qu'il a cryptés.

Merci à Kasperskydécrypteur de ransomware, certaines victimes peuvent désormais accéder gratuitement à leur dossier.

L'outil a été créé après que les autorités néerlandaises ont partagé <a href="https://www.politie.nl/nieuws/2015/april/13/11politie-zorgt-voor-doorbraak-in-recente-cryptoware-aanval.html">https://www.politie.nl/nieuws/2015/april/13/11politie-zorgt-voor-doorbraak-in-recente-cryptoware-aanval.html</a> une base de données d'informations de CoinVault (y compris les IV, les clés et les portefeuilles Bitcoin ) avec l'entreprise dans le cadre d'une enquête dans le pays.

Jornt van der Wiel, chercheur en sécurité au sein de l'unité mondiale de recherche et d'analyse de Kaspersky, a déclaré à CoinDesk que l'entreprise espérait ajouter davantage de clés de déchiffrement à sa base de données. Il a déclaré :

Nous avons téléchargé un grand nombre de clés sur le site et, en collaboration avec l'Unité nationale de lutte contre la criminalité liée aux hautes technologies de la police néerlandaise, nous mettons constamment à jour les informations.

Payer ou ne pas payer

Bien que Kaspersky et les autorités néerlandaises aient découvert une quantité importante de données, les utilisateurs dont les clés ne figurent pas sur la liste ou ceux qui ont été ciblés par une autre souche de ransomware restent exclus.

Face à ce dilemme, certaines victimes – notammentservices de police– choisissent de payer et d’espérer le meilleur.

« Comme il existe peu de moyens de récupérer des fichiers sans payer, les utilisateurs cèdent souvent. C'est une mauvaise stratégie, mais c'est souvent la plus simple pour l'utilisateur », a déclaré Van der Wiel.

De plus, la police, impliquée dans l'enquête CoinVault, affirme que le paiement ne garantit T toujours la récupération des fichiers. Au contraire, ce comportement perpétue le problème. Une déclaration traduite du département indique :

« [Le paiement] incite les criminels à continuer d'utiliser ce moyen de paiement et, de plus, n'entraîne pas toujours une libération effective. »

En effet, une étude de 2014 de la société de sécurité ESNET a montré que sur les 39 760 personnes qui ont payé la rançon d'un virus similaire, Cryptolocker,seulement 570ont eu accès à un logiciel de décryptage après avoir effectué leur paiement.

Comme les fichiers ne peuvent être récupérés qu'avec des outils comme Kaspersky, la meilleure solution, selon Van der Wiel, est la protection. Les utilisateurs devraient KEEP leur suite anti-malware à jour et prendre l'habitude de sauvegarder leurs fichiers les plus importants, a-t-il ajouté.

À propos de CoinVault

CoinVault a d'abord attiré l'attention de Kaspersky Labnovembre dernierLe virus, qui a ciblé plus de 20 pays, accède généralement aux machines des victimes via des e-mails de phishing ou des liens vers des sites Web malveillants.

Contrairement à d'autres souches, y compris Cryptolocker, CoinVault permet aux victimes de décrypter un fichier « offert par la maison » – peut-être pour atténuer les inquiétudes selon lesquelles les documents resteront verrouillés après qu'un paiement a été effectué.

Après 24 heures, la rançon commence à augmenter. L'adresse Bitcoin fournie par CoinVault étant « dynamique », il est très complexe de retracer les fonds reçus, a expliqué Van der Wiel. Les créateurs de CoinVault tiennent également à protéger leur produit, a-t-il ajouté :

En termes de fonctionnalités, nous avons déjà observé des applications malveillantes similaires, notamment TorrentLocker et certains rançongiciels PowerShell. En réalité, les efforts déployés pour protéger le code de CoinVault montrent que les cybercriminels exploitent des bibliothèques et des fonctionnalités déjà développées afin d'éviter de réinventer la roue.

Les autorités n'ont procédé à aucune arrestation en lien avec CoinVault, mais affirment qu'elles enquêtent toujours sur l'auteur, qui se trouverait aux Pays-Bas.

Les utilisateurs peuvent trouver l'outil de décryptage sur le site de Kasperskysite web, qui propose également l'application de décryptage de l'entreprise et des guides pratiques sur le sujet.

Image du claviervia Shutterstock