|
Titre: Challenge de l'été... Ransonware zepto Posté par: balicocat le 05 Juillet 2016 à 15:27:15 Salut à tous.
Rubrique défouloir... pourquoi pas ?. Je ne sais pas ou mettre ma requete... Une de mes amies s'est fait piéger par un ransonware. Un fichier zip en pièces jointe à un email pro. noyé dans la masse des attestations ,factures, plus un zeste de naïeveté. et paf. un script se lance et au final des dizaines voir plus de fichiers chiffrés. noms modifiés et extension en ".zepto" De ce que j'ai pu en voir, le script à parcouru l'arborescence "mes documents", chiffré les documents qui s'y trouvent et ajouter un petit html dans chaque dossier qui dit : vos fichiers ont été chiffrés via RSA/AES pour les récupérer, rendez vous sur un site web (qui ne réponds pas) ou sur un autre .onion via tor (pas essayé) votre identifiant est : 3889252CCC3CC34F bien sur ce site va me demander de raquer pour récuperer ma clef de dechiffrement... J'ai récupéré le script, que je peux envoyer à qui le souhaite. après l'avoir remis en forme (pfff...) c'est encore complétement "obfuscated". Ma question est : est-il possible de recreer la clef de déchiffrement à partir de ce script ? perso je sens que ça dépasse mes limites actuelles dans ce language (du java ?) et j'ai pas trop de temps à y consacrer, alors j'en appel à l'aide de la communauté newbiecontest :cool: Titre: Re : Challenge de l'été... Ransonware zepto Posté par: harvey le 05 Juillet 2016 à 17:28:49 Ça ressemble à ça (http://www.malekal.com/locky-ransomware/), non ?
D'après malekal, Citation A l’heure actuelle [février dernier], il n’y a pas de solution pour récupérer les documents chiffrés en .locky Ça n'interdit pas d'essayer, bien sûr... (je veux bien voir le script) Titre: Re : Challenge de l'été... Ransonware zepto Posté par: balicocat le 05 Juillet 2016 à 17:41:05 J'ai creusé un peu et je suis tombé sur ça (entre autre)
https://securelist.com/blog/research/74398/locky-the-encryptor-taking-the-world-by-storm/ je suis allé sur tor aussi... 4.00 Btc. pas donné le hackeur !. vé l'inflation.... Je peux t'envoyer la pj reçu par ma collegue en mp. Titre: Re : Challenge de l'été... Ransonware zepto Posté par: pixis le 05 Juillet 2016 à 18:21:32 J'suis chaud pour jeter un oeil au script par curiosité
Titre: Re : Challenge de l'été... Ransonware zepto Posté par: balicocat le 05 Juillet 2016 à 19:25:00 je t'ai envoyé un lien vers le fichier zip (comme pour harvey).
La pièce jointe associée au mail malfaisant. Titre: Re : Challenge de l'été... Ransonware zepto Posté par: Pech le 05 Juillet 2016 à 19:39:08 Salut,
Sous réserve que j'ai bien compris, il y a "Locky" mais aussi un "AutoLocky". Pour le premier, ou tu payes ou c'est mort (désolé :s) mais pour l'autre tu peux déchiffrer les fichiers. Va voir ici : http://news.softpedia.com/news/decrypter-available-for-autolocky-locky-ransomware-copycat-503053.shtml Titre: Re : Challenge de l'été... Ransonware zepto Posté par: balicocat le 05 Juillet 2016 à 20:37:34 un fichier detecté comme "locky"
https://id-ransomware.malwarehunterteam.com/identify.php Locky This ransomware has no known way of decrypting data at this time. It is recommended to backup your encrypted files, and hope for a solution in the future. Identified by sample_extension: .zepto ça s'annonce mal... Titre: Re : Challenge de l'été... Ransonware zepto Posté par: yozyop le 05 Juillet 2016 à 21:18:27 En prévention, les antivirus bloquent une partie.
D'autres référencés par ici : https://ransomwaretracker.abuse.ch/tracker/ Mais le plus dur c'est d'éduquer les utilisateurs. Bon courage :| |