Ransomware : des promesses de déchiffreurs à prendre avec prudence

« Vous pouvez nous contacter pour résoudre vos problèmes ». C’est le message des auteurs de Universal Decryptor pour les menus soucis de cyberattaque avec rançongiciel, peu importe lequel.

La condition ? Leur acheter un outil de déchiffrement présenté comme universel, moyennant paiement en cryptodevises : USDT ou Bitcoins. Comment leur faire confiance ? « Nous tenons à notre réputation. Vous pouvez vérifier les revues ».

Problème : le site Web ressemble à un copier-coller d’un autre promettant un outil de déchiffrement adapté au ransomware Akira.

Parmi les points de contact proposés, un numéro britannique à joindre via WhatsApp. Pour le déchiffreur Akira, le numéro est le même que pour un autre site plus générique proposant de tels outils pour toute une série de rançongiciels, sinon tous les plus connus.

Là, la vidéo d’une prétendue conversation avec une victime de ransomware fait ressortir à nouveau les contraintes de paiement. Avec une explication : « nous sommes en Russie ».

Le même numéro de contact est utilisé pour d’autres sites proposant des outils de déchiffrement pour Djvu, Medusa, et le disparu RansomHub. La mise en page de ce dernier site donne l’impression d’un copier-coller de sites proposant des outils de déchiffrement pour Play, Fog, ou encore Qilin. Là, nouveau numéro, toujours pour WhatsApp, qui a été également utilisé pour un site promettant de déchiffrer les données compromises avec Phobos, et encore un autre pour LockBit.

La localisation de l’activité est clairement affichée sur le site relatif à Djvu : « les meilleurs experts en ransomware de Russie ».

Sur les sites dédiés à Play, RansomHub, LockBit et Qilin, la foire aux questions a des airs de copier-coller, illustration : « [ce ransomware] est une souche relativement nouvelle de ransomware, à notre connaissance. Heureusement, nos experts en rétro-ingénierie ont développé le déchiffreur pour ce ransomware dangereux. Vous pouvez regarder la vidéo pour voir une démonstration de notre décrypteur professionnel ».

Mais faire confiance à ces « experts » est-il bien raisonnable ? La prudence s’impose à tout le moins.

Comme explicitement indiqué sur les sites relatifs à Akira et Djvu ou encore au déchiffreur universel, l’identifiant unique de la victime figurant dans la note de rançon est nécessaire : « Si votre identifiant personnel est valide et vérifié par le serveur, le déchiffreur utilisera le serveur en ligne pour contourner la clé privée et décrypter les fichiers pour le ransomware d’identifiant en ligne ».

C’est un premier problème : avec ces éléments, rien n’empêche qu’une négociation ne survienne pas à l’insu de la victime avec les cybercriminels. Et rien n’assure donc que tout paiement ne soit pas, in fine, un paiement de rançon. D’ailleurs, pas question de prix fixe : « nous vous envoyons rapidement une estimation avec des informations sur le coût et le délai de restauration ».

Mais il y a plus. Certes, des outils de déchiffrement existent pour certains rançongiciels – ou versions de ceux-ci. Tous ceux qui sont publiquement disponibles sont accessibles gratuitement. Ils sont référencés sur le site NoMoreRansom.org. Dernier en date à avoir rejoint la liste : Phobos. Ce qui ne manque pas de questionner la légitimité du site de cette galaxie concernant ce ransomware…

D’autres outils existent-ils, sans être connus publiquement ? C’est possible : les outils de déchiffrement s’appuient souvent sur des fragilités d’implémentation cryptographique dans le ransomware concerné. Il n’est alors pas question de les rendre publics, tant que le rançongiciel en question n’a pas été mis à jour et corrigé. L’information sur ces outils n’est partagée que dans des cercles restreints, comptant généralement les forces de l’ordre et les CERT/CSIRT nationaux.

L’espoir d’un déchiffrement plus ou moins rapide et facile, sans une longue restauration ni un paiement de rançon, est dès lors plus à chercher de ce côté-là qu’auprès d’experts autoproclamés russes communiquant via WhatsApp et n’acceptant que les paiements en cryptopépettes.

Une source a initialement attiré l’attention de la rédaction sur deux des sites de cette nébuleuse. Nous en avons ensuite trouvé six de plus. Ce chiffre s’est élevé à 11 avec l’aide de Recorded Future. Les opérateurs de ces sites sont connus pour être très actifs dans les forums de notre confrère Bleeping Computer. Nous avons décidé de ne pas publier leurs noms de domaine exacts afin de ne pas leur faire de publicité. Certains sont déjà bien référencés par les moteurs de recherche.