Ce ransomware a commencé par porter le nom CrySiS et a été detecté et analysé par l'éditeur d'antivirus Doctor Web dès le 19/02/2016 sous l'appelation Trojan.Encoder.3953.
Le groupe de programmeurs malveillants qui a conçu ce rançongiciel le diffuse aux hackeurs sur le darkweb par abonnement en tant qu'opération de Ransomware-as-a-Service (RaaS).
Les premières variantes jusqu'en 2016 sont décryptables car un inconnu a divulgué des clés de décryptage de CrySiS en novembre 2016.
Des éditeurs d'antivirus ont ainsi pu concevoir des décrypteurs gratuits
qui utilisent les clés de décryptage ainsi libérées.
A peine deux semaines plus tard ce ransomware était relancé sous le nom de Dharma et aucune solution de décryptage n'a depuis été trouvée.
Les développeurs de ce logiciel malveillant publient un flux constant de nouvelles variantes utilisant de très nombreuses extensions différentes.
Les fichiers cryptés par le ransomware Dharma (CrySiS) portent une extension qui s'ajoute au nom du fichier crypté de ce type :
.<id>-<id *** (8 caractères hexadécimales aléatoires)>.[email de contact des hackeurs]. suivi de l'une des nombreuses extensions différentes qui existent.
Voici quelques exemples des premières variantes :
.id-B16CDED4.[blackeyes@india.com].dharma .id-562FA4U6.[m.subzero@aol.com].wallet .id-4BC489AZ.[felix_dies@aol.com].onion .id-57HKU357.[mkgoro@india.com].xtbl .id-4860CDS2.[luckyman@cock.li].arena .id-QYU68MC1.[btcdecripter@qq.com].adobe .id-XXXXXXXX.[admin@fentex.net].money .id-XXXXXXXX.[sindragosa@bigmir.net].cezar
Le ransomware Dharma CrySiS laisse aussi en général sur les postes infectés des fichiers de demande de rançon (ransom note) en anglais qui peuvent porter ces noms :
- README.txt, README.jpg, Info.hta, How to decrypt your files .txt, Your personal data are encrypted!.txt, Files encrypted!!.txt, info.hta.
Comme chaque fichier crypté comporte déjà l'email de contact des criminels, on comprend très vite sans ce fichier de demande de rançon qu'ils invitent les victimes à les contacter pour discuter du montant à payer pour récupérer leurs données.
Malheureusement, il n'existe aucune méthode connue pour décrypter les fichiers cryptés par l'une des nouvelles variantes de Dharma (CrySiS) à moins de payer la rançon et obtenir en échange les clés de cryptage des criminels qui ont créé le ransomware. Cette solution n'est bien sûr pas recommandée.
Il n'y a aucun moyen de décrypter ces fichiers tant que les clés de décryptage ne seront pas à nouveau divulguées (cela a déjà été le cas pour les premières variantes de CrySis) ou bien encore tant que les autorités compétentes en charge de lutter contre la cybercriminalité n'auront pas saisi les serveurs utilisés par les hackeurs.
Sans la clé privée principale de décryptage détenue par ces criminels, le déchiffrement est impossible.
Cette clé privée bénéficie d'un cryptage extrêment fort et est générée de manière entièrement sécurisée.
Elle est différente pour chaque victime et impossible à calculer même à l'aide de moyen technologiques puissants par force brute.
Seuls les fichiers cryptés avant 2017 portant les extensions .dharma, .wallet, .onion et certaines variantes en .bip et .cesar sont décryptables après la diffusion par des tiers des clés de décryptage. Ce n'est donc pas à cause d'un défaut de cryptage de ce ransomware qu'il existe une solution pour ces variantes comme on peut le lire à tort parfois sur internet.
Le code source du ransomware Dharma est en vente sur les forums de piratage. Les clés de déchiffrement de ces premières extensions du ransomware CrySis ont sans doute été publiées par l'un des développeurs, ce qui a permis à Kaspersky, ESET, Trend Micro et Avast de créer des outils de déchiffrement gratuits.
Voici les liens d'accès vers les solutions de décryptage gratuites conçus pour récupérer les variantes de CrySiS avec les extensions
.crysis .xtbl .wallet .dharma et .onion. à télécharger et utiliser avec les liens d'accès internet ci-dessous :
- le décrypteur RakhniDecryptor de Kaspersky.
- le décrypteur CrySiS conçu par Avast.
- ESET Crysis Decryptor.
- ou encore le decrypteur de Trend Micro.
Il existe bien plus de variantes pour lesquels il n'y a malheureusement aucune solution de décryptage.
Le blog de Amigo-A (Andrew Ivanov) consultable ici vous permet de prendre connaissance des nombreuses extensions de ce ransomware.
Ce ransomware provient principalement d'une faille dans le protocole RDP (Remote Desktop Protocol).
C'est sans doute le mot de passe qui permet d'accèder à distance à votre ordinateur ou au réseau qui a été compromis. Veuillez donc d'urgence désactiver l'accès distant et le sécuriser avec un nouveau mot de passe plus fort.
Pour faire face rapidement à ce genre de menaces informatiques, l'existence de sauvegardes externes avec des sauvegardes multiples testées régulièrement est déterminente.
En cas de contamination par le ransomware Dharma (ChrySiS) nous vous recommendons :
- de porter plainte auprès des autorités compétentes. Consultez les sites :
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares et https://www.nomoreransom.org/fr/report-a-crime.html
- de sauvegarder régulièrement les données critiques pour éviter toute perte ;
- de désactiver ou au moins sécuriser le protocole RDP (à l'aide de VPN et en limitant l'accès RDP aux utilisateurs qui en ont réellement besoin) ;
- d’utiliser un mot de passe plus fort pour les utilisateurs disposant d'un accès autorisé ;
- de mettre en place un mot de passe pour protéger vos paramètres antivirus et empêcher sa désactivation ou sa désinstallation par des personnes non autorisées ;
- d’activer la détection par votre antivirus des applications potentiellement dangereuses avant leur installation.
Nous vous proposons d’acquérir les licences antivirus Kaspersky avec une réduction de 40 % en cliquant ici : https://www.winrar-france.com/store/-c23908855
--
Formulaire de contact pour les ransomwares : https://adc-soft.com/decryptage/ransomware.php
ADC-Soft | 18bis, rue de l'Est - 92100 Boulogne-Billancourt (France)
Partenaire officiel de Dr.Web
| Twitter: @Emm_ADC_Soft
