février 12, 2021

Décrypteur gratuit publié pour les victimes du ransomware Avaddon … aaet, il est parti!

Par admin2020

[ad_1]

avaddon-ransomware.png

Image: ZDNet

Un étudiant espagnol a publié un utilitaire de décryptage gratuit qui peut aider les victimes du ransomware Avaddon à récupérer leurs fichiers gratuitement.

Publié sur GitHub par Javier Yuste, étudiant à l’Université Rey Juan Carlos de Madrid, le AvaddonDecrypter ne fonctionne que dans les cas où les victimes n’ont pas éteint leurs ordinateurs.

L’outil fonctionne en vidant la RAM d’un système infecté et en parcourant le contenu de la mémoire à la recherche de données qui pourraient être utilisées pour récupérer la clé de chiffrement d’origine du ransomware.

Si suffisamment d’informations sont récupérées, l’outil peut ensuite être utilisé pour décrypter les fichiers et aider les victimes à se remettre des attaques Avaddon sans avoir à payer la demande de rançon du gang.

Le gang Avaddon corrige son code

Mais si la sortie de l’outil aidera très probablement les anciennes victimes, elle n’aidera pas les entreprises victimes de nouvelles attaques Avaddon.

En effet, la sortie de l’outil n’est pas passée inaperçue. Dans un message publié sur le forum mercredi, le gang Avaddon a déclaré qu’il avait également appris l’existence du décrypteur de Yuste et avait déjà déployé des mises à jour de son code, annulant ainsi les capacités de l’outil.

avaddon-message.png

Image: ZDNet

La réaction de l’équipe Avaddon reflète la façon dont l’équipe du ransomware Darkside a également répondu à la sortie d’un décrypteur similaire pour sa propre souche le mois dernier, en janvier.

darkside-answer.png

Image: KELA

Experts d’Infosec: gardez certains décrypteurs de ransomwares privés!

En fin de compte, la sortie des deux utilitaires de décryptage a eu un impact très limité. Alors que quelques victimes ont pu décrypter des fichiers, une fois que l’existence de l’outil de décryptage a été rendue publique, les gangs de ransomwares ont analysé le fonctionnement des outils et ont corrigé leur code en quelques jours.

La sortie de ces deux outils, accompagnée d’un Article de blog de la société de sécurité néerlandaise Eye Control montrant comment les victimes pouvaient se remettre d’attaques avec le ransomware Data Doctor, a relancé, une fois de plus, une conversation de plusieurs années dans le secteur de la cybersécurité sur la manière dont les utilitaires de décryptage devraient être gérés et remis aux victimes.

Plusieurs éminents chercheurs en sécurité ayant une longue histoire d’aide aux victimes de ransomwares depuis le milieu des années 2010 ont fait connaître à nouveau leur opinion au cours des deux derniers mois, soulignant le fait que les utilitaires de décryptage qui tirent parti des bogues de chiffrement des ransomwares devraient rester privés et distribués aux victimes via des canaux non publics plutôt qu’en ligne.

De plus, même si de tels outils doivent être rendus publics, il ne devrait pas y avoir de détails techniques accompagnant la sortie de l’outil, détails qui aideront évidemment les attaquants à corriger également leur propre code.

De l’autre côté, les utilitaires de décryptage construits autour des clés de décryptage principales obtenues à partir des serveurs des attaquants peuvent être partagés en ligne, car les auteurs de ransomwares ne peuvent pas faire grand-chose à propos de ces outils.

Dans l’ensemble, voir comment les groupes Avaddon et Darkside ont réagi – en corrigeant leurs schémas de chiffrement en quelques jours – il est difficile de contester les arguments avancés en ligne au cours des deux derniers mois, à savoir que certains outils de décryptage ne devraient jamais entrer dans le domaine public. .



[ad_2]

Source link