Ce ransomware s'appelle CrySiS. Il a été detecté et analysé par l'éditeur d'antivirus Doctor Web dès le 19/02/2016 sous l'appelation Trojan.Encoder.3953.
Il porte aussi les appelations Filecoder.Crysis pour Eset et Ransom:Win32/Crysis pour Microsoft. Le groupe de programmeurs malveillants qui a conçu ce rançongiciel le diffuse aux hackeurs sur le darkweb par abonnement en tant qu'opération de Ransomware-as-a-Service (RaaS).
Les premières variantes jusqu'en 2016 sont décryptables car un inconnu a divulgué des clés de décryptage de CrySiS en novembre 2016.
Des éditeurs d'antivirus ont ainsi pu concevoir des décrypteurs gratuits
qui utilisent les clés de décryptage ainsi libérées.
A peine deux semaines plus tard ce ransomware était relancé sous le nom de Dharma et aucune solution de décryptage n'a depuis été trouvée.
Les développeurs de ce logiciel malveillant publient un flux constant de nouvelles variantes utilisant de très nombreuses extensions différentes.
Les fichiers cryptés par le ransomware Dharma (CrySiS) portent une extension qui s'ajoute au nom du fichier crypté de ce type :
.<id>-<id *** (8 caractères hexadécimales aléatoires)>.[email de contact des hackeurs]. suivi de l'une des nombreuses extensions différentes qui existent.
Voici quelques exemples des premières variantes :
.id-B16CDED4.[blackeyes@india.com].dharma .id-562FA4U6.[m.subzero@aol.com].wallet .id-4BC489AZ.[felix_dies@aol.com].onion .id-57HKU357.[mkgoro@india.com].xtbl .id-4860CDS2.[luckyman@cock.li].arena .id-QYU68MC1.[btcdecripter@qq.com].adobe .id-XXXXXXXX.[admin@fentex.net].money .id-XXXXXXXX.[sindragosa@bigmir.net].cezar
Le ransomware Dharma CrySiS laisse aussi en général sur les postes infectés des fichiers de demande de rançon (ransom note) en anglais qui peuvent porter ces noms :
README.txt ; README.jpg ; Info.hta ; How to decrypt your files.txt ; Your personal data are encrypted!.txt ; Files encrypted!!.txt ; info.hta.
Comme chaque fichier crypté comporte déjà l'email de contact des criminels, on comprend très vite sans ce fichier de demande de rançon qu'ils invitent les victimes à les contacter pour discuter du montant à payer pour récupérer leurs données.
Malheureusement, il n'existe aucune méthode connue pour décrypter les fichiers cryptés par l'une des nouvelles variantes de Dharma (CrySiS) à moins de payer la rançon et obtenir en échange les clés de cryptage des criminels qui ont créé le ransomware. Cette solution n'est bien sûr pas recommandée.
Il n'y a aucun moyen de décrypter ces fichiers tant que les clés de décryptage ne seront pas à nouveau divulguées (cela a déjà été le cas pour les premières variantes de CrySis) ou bien encore tant que les autorités compétentes en charge de lutter contre la cybercriminalité n'auront pas saisi les serveurs utilisés par les hackeurs.
Sans la clé privée principale de décryptage détenue par ces criminels, le déchiffrement est impossible.
Cette clé privée bénéficie d'un cryptage extrêment fort et est générée de manière entièrement sécurisée.
Elle est différente pour chaque victime et impossible à calculer même à l'aide de moyen technologiques puissants par force brute.
Seuls les fichiers cryptés avant 2017 portant les extensions .dharma, .wallet, .onion et certaines variantes en .bip et .cesar sont décryptables après la diffusion par des tiers des clés de décryptage. Ce n'est donc pas à cause d'un défaut de cryptage de ce ransomware qu'il existe une solution pour ces variantes comme on peut le lire à tort parfois sur internet.
Le code source du ransomware Dharma est en vente sur des forums de piratage. Les clés de déchiffrement des premières extensions du ransomware CrySis ont sans doute été publiées par l'un des développeurs, ce qui a permis à Kaspersky, ESET, Trend Micro et Avast de créer des outils de déchiffrement gratuits.
Voici les liens d'accès vers des solutions de décryptage gratuites conçus pour récupérer les variantes de CrySiS avec les extensions
.crysis .xtbl .wallet .dharma et .onion à télécharger et utiliser avec les liens d'accès internet ci-dessous :
- le décryteur RakhniDecryptor de Kaspersky.
- le décryteur CrySiS Decrytor conçu par Avast.
- l'utilitaire ESET Crysis Decryptor en ligne de commande.
- ou encore le décrypteur Trend Micro Ransomware Decryptor.
Il existe de nombreuses variantes du rançongiciel Dharma pour lesquels il n'y a toujours aucune solution de décryptage disponible.
L'encyclopédie des ransomwares conçue par Andrew Ivanov (Amigo-A sur le réseau social X) consultable ici permet d'en savoir plus et de prendre connaissance de toutes les nombreuses extensions existantes.
Ce ransomware provient principalement d'une faille dans le protocole RDP (Remote Desktop Protocol).
C'est sans doute le mot de passe qui permet d'accèder à distance à votre ordinateur ou au réseau qui a été compromis. Veuillez donc d'urgence désactiver l'accès distant et le sécuriser avec un nouveau mot de passe plus fort.
Pour faire face rapidement à ce genre de menaces informatiques, l'existence de sauvegardes externes avec des sauvegardes multiples testées régulièrement est déterminente.
En cas de contamination par le ransomware Dharma CrySiS, nous vous recommendons :
- de porter plainte auprès des autorités compétentes. Consultez les sites :
www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares et www.nomoreransom.org/fr/report-a-crime.html.
- de sauvegarder régulièrement les données critiques pour éviter toute perte ;
- de désactiver ou au moins sécuriser le protocole RDP (à l'aide de VPN et en limitant l'accès à distance uniquement aux utilisateurs de confiance) ;
- d’utiliser un mot de passe plus fort pour les utilisateurs disposant d'un accès autorisé ;
- de mettre en place un mot de passe pour protéger vos paramètres antivirus et empêcher sa désactivation ou sa désinstallation par des personnes non autorisées ;
- d’activer en permanence la détection par votre antivirus des applications et logiciels téléchargés et utilisés sur votre poste.
Nous vous proposons d’acquérir les licences antivirus Kaspersky avec une réduction de 40 % en cliquant ici : www.winrar-france.com/store/-c23908855.
--
Formulaire de contact d'aide au décryptage des ransomwares : www.adc-soft.com/decryptage/ransomware.php
ADC-Soft | 3, rue Paul Bert - 92100 Boulogne-Billancourt (France)
Partenaire officiel de Dr.Web
| Twitter X :@Emm_ADC_Soft
