logo Homepage
+  NewbieContest
|-+  Général» Defouloir» Challenge de l'été... Ransonware zepto
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: Challenge de l'été... Ransonware zepto  (Lu 5455 fois)
balicocat

Profil challenge

Classement : 24/54756

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« le: 05 Juillet 2016 à 15:27:15 »

Salut à tous.
Rubrique défouloir... pourquoi pas ?. Je ne sais pas ou mettre ma requete...

Une de mes amies s'est fait piéger par un ransonware. Un fichier zip en pièces jointe à un email pro. noyé dans la masse des attestations ,factures, plus un zeste de naïeveté. et paf. un script se lance et au final des dizaines voir plus de fichiers chiffrés. noms modifiés et extension en ".zepto"

De ce que j'ai pu en voir, le script à parcouru l'arborescence "mes documents", chiffré les documents qui s'y trouvent et ajouter un petit html dans chaque dossier qui dit :

vos fichiers ont été chiffrés via RSA/AES
pour les récupérer, rendez vous sur un site web (qui ne réponds pas) ou sur un autre .onion via tor (pas essayé)
votre identifiant est : 3889252CCC3CC34F

bien sur ce site va me demander de raquer pour récuperer ma clef de dechiffrement...

J'ai récupéré le script, que je peux envoyer à qui le souhaite.
après l'avoir remis en forme (pfff...) c'est encore complétement "obfuscated".
Ma question est :
est-il possible de recreer la clef de déchiffrement à partir de ce script ?
perso je sens que ça dépasse mes limites actuelles dans ce language (du java ?) et j'ai pas trop de temps à y consacrer, alors j'en appel à l'aide de la communauté newbiecontest







Journalisée

Look out honey, 'cause i'm using technology
harvey

Profil challenge

Classement : 13/54756

Membre Senior
****
Hors ligne Hors ligne
Messages: 316


Voir le profil WWW
« #1 le: 05 Juillet 2016 à 17:28:49 »

Ça ressemble à ça, non ?

D'après malekal,
Citation
A l’heure actuelle [février dernier], il n’y a pas de solution pour récupérer les documents chiffrés en .locky

Ça n'interdit pas d'essayer, bien sûr... (je veux bien voir le script)
Journalisée

L'entropie vient en mangeant.
balicocat

Profil challenge

Classement : 24/54756

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« #2 le: 05 Juillet 2016 à 17:41:05 »

J'ai creusé un peu et je suis tombé sur ça (entre autre)
https://securelist.com/blog/research/74398/locky-the-encryptor-taking-the-world-by-storm/
je suis allé sur tor aussi... 4.00 Btc. pas donné le hackeur !. vé l'inflation....

Je peux t'envoyer la pj reçu par ma collegue en mp.
Journalisée

Look out honey, 'cause i'm using technology
pixis
Administrateur

Profil challenge

Classement : 17/54756

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 665


Voir le profil WWW
« #3 le: 05 Juillet 2016 à 18:21:32 »

J'suis chaud pour jeter un oeil au script par curiosité
Journalisée

Newbie Contest Staff :
Pixis
Statut :
Administrateur
Blog :
hackndo
balicocat

Profil challenge

Classement : 24/54756

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« #4 le: 05 Juillet 2016 à 19:25:00 »

je t'ai envoyé un lien vers le fichier zip (comme pour harvey).
La pièce jointe associée au mail malfaisant.
Journalisée

Look out honey, 'cause i'm using technology
Pech
Profil challenge

Classement : 35/54756

Membre Junior
**
Hors ligne Hors ligne
Messages: 83


Voir le profil
« #5 le: 05 Juillet 2016 à 19:39:08 »

Salut,
Sous réserve que j'ai bien compris, il y a "Locky" mais aussi un "AutoLocky".
Pour le premier, ou tu payes ou c'est mort (désolé :s) mais pour l'autre tu peux déchiffrer les fichiers.
Va voir ici : http://news.softpedia.com/news/decrypter-available-for-autolocky-locky-ransomware-copycat-503053.shtml
Journalisée
balicocat

Profil challenge

Classement : 24/54756

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« #6 le: 05 Juillet 2016 à 20:37:34 »

un fichier detecté comme "locky"

https://id-ransomware.malwarehunterteam.com/identify.php

Locky
This ransomware has no known way of decrypting data at this time.

It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

    sample_extension: .zepto


ça s'annonce mal...
Journalisée

Look out honey, 'cause i'm using technology
yozyop
Newseur

Profil challenge

Classement : 330/54756

Membre Junior
**
Hors ligne Hors ligne
Messages: 82


Voir le profil
« #7 le: 05 Juillet 2016 à 21:18:27 »

En prévention, les antivirus bloquent une partie.
D'autres référencés par ici : https://ransomwaretracker.abuse.ch/tracker/
Mais le plus dur c'est d'éduquer les utilisateurs.
Bon courage
Journalisée
Pages: [1]
  Imprimer  
 
Aller à: