Une équipe de cyberpirates revendique être à l’origine du ransomware AES-NI, une autre équipe publie une clé de déchiffrement !
Une clé de déchiffrement du ransomware AES-NI dévoilé suite à une rivalité
Le proverbe dit « les ennemis de mes ennemis sont mes amis ». Cela pourrait bien s’avérer vrai dans ce cas précis. L’éditeur de solution de sécurité ESET a publié un outil de déchiffrement pour des variantes du ransomware AES-NI. Pour fonctionner, il a besoin d’une clé de déchiffrement que des pirates eux-même ont fournis.
Pourquoi publier une clé de déchiffrement juste après avoir lancé un malware? L’origine se trouve dans une rivalité entre pirates. Les clés de la variante A (Win32/Filecoder.AESNI.A.) avaient déjà été publiées sur un forum, les auteurs ayant revendiqué être les développeurs du malware. Pour la variante B (Win32/Filecoder.AESNI.B), les pirates l’ont diffusé sur Twitter. Quant à la variante C (Win32/Filecoder.AESNI.C) connue sous le nom d’XData, un invité anonyme a posté la clé sur un forum quelques jours plus tard.
Le groupe de pirates responsable du ransomware de la propagation AES-NI affirme que son code source a été dérobé, puis utilisé pour créer XData. A l’origine et pour éviter des poursuites dans leur propre pays, des hackers russes ont introduits des restrictions dans le malware pour éviter la propagation dans leur pays.
Une fois le code source volé, les restrictions ont été levées pour cible l’Ukraine. Détecté à 96% dans ce pays entre le 17 et le 22 mai 2017.
Que faire en cas d’infection par une des variantes de AES-NI ?
Vous pouvez télécharger l’outil de déchiffrement ESET en cliquant ici si vous veniez à être infecté. Pour plus d’informations sur l’utilisation de cet outil en cliquant ici.
Si vous n’êtes pas encore infecté, alors bravo ! pour ne pas l’être plus tard, il est bien entendu de respecter les règles d’usages.
- Avoir une solution de sécurité à jour
- Ne pas cliquer sur des liens suspects
- Gardez vos systèmes d’exploitations et vos logiciels à jour
- Ne télécharger pas de pièce jointe provenant d’un expéditeur inconnu
Et bien entendu, faites des sauvegardes régulière, sur un autre périphérique, de préférence déconnecté de votre machine et d’internet (un disque dur externe par exemple)