Avast publie un outil de déchiffrement pour le ransomware MafiaWare666
Avast a mis en ligne un outil de déchiffrement pour différentes variantes du ransomware MafiaWare666, notamment Jcrypt, RIP Lmao et BrutusptCrypt.
L'éditeur Avast a identifié une faille dans le module de chiffrement utilisé par le ransomware MafiaWare666, ce qui permet la récupération des données sur certaines machines, selon la variante utilisée. Dans certains cas, l'outil de déchiffrement proposé par Avast peut ne pas fonctionner si le module de chiffrement utilisé est différent de celui pour lequel Avast a identifié un bug.
De ce fait, en utilisant l'outil d'Avast, les victimes peuvent récupérer leurs données gratuitement : une bonne nouvelle ! Dans la majorité des cas, cette famille de ransomwares demande une rançon assez faible : entre 50 et 300 euros. Néanmoins, il y a eu quelques exceptions avec des rançons estimées à plusieurs dizaines de milliers d'euros. Lorsque ce ransomware est utilisé, les données sont simplement chiffrées donc il n'y a pas de double extorsion avec l'exfiltration des données vers les serveurs des cybercriminels.
L'outil de déchiffrement "Avast Decryption Tool for MafiaWare666" mis en ligne par Avast est disponible en téléchargement à cette adresse et il prend en charge les extensions de fichiers suivants :
- .MafiaWare666
- .jcrypt
- .brutusptCrypt
- .bmcrypt
- .cyberone
- .l33ch
Cet outil répond à deux cas de figures :
- Vous avez connaissance de votre clé de déchiffrement mais vous n'étiez pas parvenu à déchiffrer les données
- Vous n'avez pas connaissance de votre clé de déchiffrement (ce qui correspond à la majorité des cas)
Bien sûr, dans le cas où vous n'avez pas connaissance de votre clé, l'analyse et la récupération de vos données sera plus longue car il y aura une première phase où l'outil va rechercher la clé de déchiffrement correspondante à votre machine. Comme souvent avec ces outils, il y a une option qui permet de garder une copie des fichiers chiffrés afin de pouvoir retenter sa chance si le fichier est corrompu pendant la phase de récupération.
Un article complet est disponible sur le site d'Avast.