C’est bien la première fois qu’une telle chose se produit et il faut le souligner… L’auteur du logiciel rançonneur V Locker s’excuse de la gêne occasionnée et annonce un déchiffrement total à partir du 2 juin.
Les ransomwares font de plus ne plus de victimes et génère des gains faciles et en quantité impressionnante pour les cybercriminels. Chose pour le moins étrange (mais véridique), l’auteur du ransomware V Locker, une variante agressive de Cryptolocker) a publié une annonce sur PasteBin afin de s’excuser de la gêne occasionnée par son outil malveillant baptisé V Locker.
Rappelons le fonctionnement de ce genre de malware : une fois sur la machine de la victime, il va s’empresser de chiffrer fortement tous les documents jugés “utiles” qui se trouvent sur la machine et de proposer à la victime de payer une rançon pour obtenir un accès de récupération pour ses données.
Depuis le 25 mai, ce code malveillant affiche sur l’écran des innombrables victimes un message clair et précis :
“Warning any attempt to remove damage or even investigate the Locker software will lead to immediate destruction of your private key on our server!“.
Impossible de savoir la raison qui le pousse à faire cela, mis à part des pressions de certaines autorités peut être (les remords sont difficiles à croire dans le monde du cybercrime non ?). Il en profite pour indiquer aux développeurs le détails des algorithmes utilisés par V Locker, à savoir de l’AES-256 bit et les classes RSACryptoServiceProvider et RijndaelManaged.
Dans la foulée, le pirate a diffusé une copie de la base de données complètes du malware, contenant l’ensembles des clés privées et publiques permettant le déchiffrement des données (lien Mega, poids de 127.5 Mo). Le CSV et il contient environ 62 000 clés et si on en croit l’auteur de V Locker, tous les systèmes infectés par ce virus seront automatiquement déchiffrés entre le 2 et 3 juin.
D’après les spécialistes, ce n’est pas un fake ou scam et les clés fonctionnent. L’outil “Locker Unlocker” en est même la preuve. A tester.
Ci-dessous, le contenu complet du document PasteBin :
Hi, I am the author of the Locker ransomware and I'm very sorry about that has happened. It was never my intention to release this. I uploaded the database to mega.co.nz containing "bitcoin address, public key, private key" as CSV. This is a dump of the complete database and most of the keys weren't even used. All distribution of new keys has been stopped.https://mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4
Automatic decryption will start on 2nd of june at midnight. @devs, as you might be aware the private key is used in the RSACryptoServiceProvider class .net and files are encrypted with AES-256 bit using the RijndaelManaged class.
This is the structure of the encrypted files:
– 32 bit integer, header length – byte array, header (length is previous int) *decrypt byte array using RSA & private key.
Decrypted byte array contains:
– 32 bit integer, IV length – byte array, IV (length is in previous int)
– 32 bit integer, key length – byte array, Key (length is in previous int)
– rest of the data is the actual file which can be decrypted using Rijndaelmanaged and the IV and Key
Again sorry for all the trouble.
Poka BrightMinds
~ V