29-01-2019, 07:46
<r>les ransomwares ont toujours très présent.<br/>
<br/>
Il y a notamment PyLocky. Il est développé en Python et chiffre tous les fichiers sur le disque dur, avant de demander une rançon.<br/>
<br/>
PyLocky se répand beaucoup en Europe et en France.<br/>
<br/>
Mais bonne nouvelle !!! La société Talos (Cisco) a créé un déchiffreur qui va permettre de sauver vos fichiers si vous n’avez pas eu le réflexe de faire des sauvegardes.<br/>
<br/>
Lorsque PyLocky se lance, il génère un ID et un mot de passe aléatoire et récupère des informations sur la machine. Il génère ensuite un vecteur d’initialisation aléatoire (IV) encodé en base64 et envoyé avec le reste des infos au serveur de contrôle (C2).<br/>
<br/>
Une fois les chemins d’accès à tous les fichiers récupérés, le chiffrement démarre, en combinant le vecteur d’initialisation et le mot de passe. Ainsi chaque fichier est d’abord encodé en base64 avant d’être chiffré, puis une extension .lockedfile est attribué à chaque fichier. Le fichier original est quand a lui remplacé par un document contenant les instructions pour payer la rançon.<br/>
<br/>
<IMG src="https://korben.info/app/uploads/2019/01/PyLockyRansom-1024x417.png"><s>[img]</s><URL url="https://korben.info/app/uploads/2019/01/PyLockyRansom-1024x417.png"><LINK_TEXT text="https://korben.info/app/uploads/2019/01 ... 24x417.png">https://korben.info/app/uploads/2019/01/PyLockyRansom-1024x417.png</LINK_TEXT></URL><e>[/img]</e></IMG><br/>
<br/>
L’outil de Talos fonctionne sous Windows et doit connaitre toutes les infos envoyées au serveur C2 afin de pouvoir déchiffrer les fichiers. C’est donc pour cela que le déchiffrement sera possible uniquement si vous avez le fichier PCAP (capture du trafic réseau) de votre machine infectée.<br/>
<br/>
Voici le type d’infos que le déchiffreur recherchera dans le fichier PCAP :<br/>
<br/>
<HIGHLIGHT highlight="red"><s>[highlight=red]</s>PCNAME=NAME&IV=KXyiJnifKQQ%3D%0A&GC=VGA+3D&PASSWORD=CVxAfel9ojCYJ9So&CPU=Intel%28R%29+Xeon%28R%29+CPU+E5-1660+v4+%40+3.20GHz&LANG=en_US&INSERT=1&UID=XXXXXXXXXXXXXXXX&RAM=4&OSV=10.0.16299+16299&MAC=00%3A00%3A00%3A00%3A45%3A6B&OS=Microsoft+Windows+10+Pro<e>[/highlight]</e></HIGHLIGHT><br/>
<br/>
Ce message contient le vecteur d’initialisation (IV) et le mot de passe. Cela sera utilisé par le déchiffreur pour restaurer les fichiers.<br/>
<br/>
Téléchargement du déchiffreur PyLock ici : <URL url="https://github.com/Cisco-Talos/pylocky_decryptor"><s>http://</s>https://github.com/Cisco-Talo...cryptor<e></e></URL></r>
<br/>
Il y a notamment PyLocky. Il est développé en Python et chiffre tous les fichiers sur le disque dur, avant de demander une rançon.<br/>
<br/>
PyLocky se répand beaucoup en Europe et en France.<br/>
<br/>
Mais bonne nouvelle !!! La société Talos (Cisco) a créé un déchiffreur qui va permettre de sauver vos fichiers si vous n’avez pas eu le réflexe de faire des sauvegardes.<br/>
<br/>
Lorsque PyLocky se lance, il génère un ID et un mot de passe aléatoire et récupère des informations sur la machine. Il génère ensuite un vecteur d’initialisation aléatoire (IV) encodé en base64 et envoyé avec le reste des infos au serveur de contrôle (C2).<br/>
<br/>
Une fois les chemins d’accès à tous les fichiers récupérés, le chiffrement démarre, en combinant le vecteur d’initialisation et le mot de passe. Ainsi chaque fichier est d’abord encodé en base64 avant d’être chiffré, puis une extension .lockedfile est attribué à chaque fichier. Le fichier original est quand a lui remplacé par un document contenant les instructions pour payer la rançon.<br/>
<br/>
<IMG src="https://korben.info/app/uploads/2019/01/PyLockyRansom-1024x417.png"><s>[img]</s><URL url="https://korben.info/app/uploads/2019/01/PyLockyRansom-1024x417.png"><LINK_TEXT text="https://korben.info/app/uploads/2019/01 ... 24x417.png">https://korben.info/app/uploads/2019/01/PyLockyRansom-1024x417.png</LINK_TEXT></URL><e>[/img]</e></IMG><br/>
<br/>
L’outil de Talos fonctionne sous Windows et doit connaitre toutes les infos envoyées au serveur C2 afin de pouvoir déchiffrer les fichiers. C’est donc pour cela que le déchiffrement sera possible uniquement si vous avez le fichier PCAP (capture du trafic réseau) de votre machine infectée.<br/>
<br/>
Voici le type d’infos que le déchiffreur recherchera dans le fichier PCAP :<br/>
<br/>
<HIGHLIGHT highlight="red"><s>[highlight=red]</s>PCNAME=NAME&IV=KXyiJnifKQQ%3D%0A&GC=VGA+3D&PASSWORD=CVxAfel9ojCYJ9So&CPU=Intel%28R%29+Xeon%28R%29+CPU+E5-1660+v4+%40+3.20GHz&LANG=en_US&INSERT=1&UID=XXXXXXXXXXXXXXXX&RAM=4&OSV=10.0.16299+16299&MAC=00%3A00%3A00%3A00%3A45%3A6B&OS=Microsoft+Windows+10+Pro<e>[/highlight]</e></HIGHLIGHT><br/>
<br/>
Ce message contient le vecteur d’initialisation (IV) et le mot de passe. Cela sera utilisé par le déchiffreur pour restaurer les fichiers.<br/>
<br/>
Téléchargement du déchiffreur PyLock ici : <URL url="https://github.com/Cisco-Talos/pylocky_decryptor"><s>http://</s>https://github.com/Cisco-Talo...cryptor<e></e></URL></r>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
