Les rançongiciels sont une forme très dangereuse de logiciels malveillants qui ont causé des milliards de dollars de dégâts. Les attaques de chiffrement des ransomwares peuvent-elles être inversées ? Tous les ransomwares peuvent-ils être décryptés, ou certains d’entre eux sont-ils inattaquables ?
Qu’est-ce qu’un ransomware ?
Un ransomware est un type de logiciel malveillant qui crypte les fichiers d’un appareil infecté, les opérateurs exigeant une rançon en échange de la clé de décryptage. Lorsqu’un appareil est infecté par un ransomware, le propriétaire en est souvent averti par une fenêtre contextuelle, voire par une modification du fond d’écran de son appareil. Cet avertissement explique ce que l’opérateur exige comme rançon, et souvent ce qui se passera si elle n’est pas payée.
Parfois, les cybercriminels fournissent à la victime une clé de décryptage lorsque la rançon est payée, mais ce n’est pas sûr. Les opérateurs malveillants peuvent également prendre la route et laisser les fichiers cryptés dans leur état codé une fois que l’argent de la rançon est entre leurs mains.
Si les ransomwares peuvent cibler les particuliers, ils sont souvent connus pour cibler les entreprises. En effet, une organisation sera probablement plus à même de payer une rançon importante qu’une personne seule.
Les ransomwares constituent manifestement une menace considérable dans l’espace numérique, mais ont-ils un point faible ? Tous les ransomwares peuvent-ils être décryptés ?
Comment les ransomwares sont-ils décryptés ?
Le décryptage d’un ransomware s’effectue, comme vous l’aurez deviné, à l’aide d’un outil de décryptage.
Les outils de décryptage sont conçus pour apprendre le comportement d’une souche donnée de ransomware, puis utiliser ces connaissances pour décrypter les fichiers infectés. Lorsqu’un fichier est décrypté, le code aléatoire imposé par le cryptage initial est décodé, convertissant les données en texte clair.
Il existe de nombreux outils de décryptage de ransomware. Beaucoup sont gratuits, mais certains sont payants.
Tous les ransomwares peuvent-ils être décryptés ?
Techniquement, tous les types de ransomware peuvent être décryptés. C’est une bonne nouvelle, mais elle s’accompagne d’une condition importante. Chaque type de ransomware a besoin de son propre décrypteur. Vous ne pouvez pas utiliser un seul outil de décryptage pour tous les types de ransomware, car chacun d’entre eux possède des propriétés et un code qui lui sont propres. C’est l’une des principales raisons pour lesquelles les ransomwares peuvent être difficiles à décrypter, car la victime doit savoir de quel type de ransomware il s’agit pour trouver l’outil de décryptage adéquat.
Il existe de nombreux types de ransomwares pour lesquels des outils de décryptage ont été conçus. Généralement, les ransomwares les moins sophistiqués sont plus faciles à décrypter, car leur code est plus facile à lire et à percer. Le ransomware Jigsaw, par exemple, peut être décrypté à l’aide d’un certain nombre d’outils gratuits en ligne, principalement parce que sa conception est assez basique.
Vous trouverez ci-dessous une liste des souches de ransomware les plus courantes pour lesquelles des outils de décryptage ont été publiés :
- Jigsaw.
- Bart.
- Apocalypse.
- BadBlock.
- TeslaCrypt.
- Légion.
- 777.
- SZFLocker.
- Crypt888.
- Aurora.
- InsaneCrypt.
- Striked.
- BTCWare.
- MicroCop.
Cependant, il n’existe pas d’outils de décryptage pour tous les types de ransomware. En particulier pour les nouvelles souches de ransomware, il peut s’écouler un certain temps avant que les développeurs ne publient un outil de décryptage. LockBit, par exemple, ne dispose actuellement d’aucun outil de décryptage. Pendant ce temps, les opérateurs du ransomware ont pu attaquer de nombreuses cibles. En outre, le cryptage utilisé par les ransomwares plus sophistiqués est plus difficile à décrypter, et il faut donc plus de temps pour qu’un outil de décryptage soit publié.
Un autre aspect préoccupant est que certains ransomwares n’ont même pas de clé de décryptage. Par exemple, ZDNet a rapporté qu’un type spécifique de ransomware découvert par des chercheurs est si basique dans sa conception qu’il ne peut pas être décrypté. Ce ransomware, connu sous le nom de Cryptonite, efface simplement les fichiers de l’appareil infecté, au lieu de les chiffrer.
Ainsi, les choses peuvent parfois aller dans l’autre sens, et le manque de sophistication du code d’une souche de ransomware peut la rendre encore plus dangereuse pour les victimes.
Les ransomwares peuvent être très difficiles à vaincre
Non seulement les ransomwares représentent une menace considérable pour tout le monde, mais ils peuvent être difficiles à décrypter, ce qui signifie que des fichiers précieux sont mis en péril. Si de nombreux types de ransomwares peuvent être déverrouillés, il existe encore de nombreuses souches pour lesquelles les fournisseurs de cybersécurité n’ont pas encore publié d’outil de décryptage. C’est la raison pour laquelle vous devez appliquer des niveaux élevés de sécurité sur vos appareils afin d’éviter de telles attaques.