Il n’aura pas fallu bien longtemps aux chercheurs de SentinelOne pour casser le chiffrement de EvilQuest. Si leur outil de décryptage permettra aux victimes d’éviter le paiement de la rançon, ces dernières devront tout de même être attentives aux dégâts causés par le ransomware.

EvilQuest aura perpétré ses méfaits pendant à peine un mois avant d’être neutralisé. Ce rançongiciel (ou ransomware) vise exclusivement les Mac, dans le but d’aspirer toutes sortes de données confidentielles. Pour faire distraction, le malware chiffre de façon aléatoire les fichiers de l’ordinateur : les documents deviennent illisibles, et certains logiciels peuvent être paralysés. Ensuite, EvilQuest va laisser une demande de rançon, fixée à seulement 50 dollars payables en bitcoin. En échange de son paiement sous 72 heures, les cybercriminels promettent qu’ils donneront à la victime l’outil pour lever le chiffrement et restaurer les données.

Image d'erreur

EvilQuest vise exclusivement les ordinateurs sous macOS. // Source : Louise Audry pour Numerama

Le 7 juillet, les chercheurs de SentinelOne ont mis un terme à ce moyen de pression, en publiant un décrypteur gratuit pour tous. Cet outil va lever le chiffrement et restaurer les données : plus besoin de payer ! Malgré cette avancée, le rançongiciel fera quand même des dégâts, puisqu’il vole les données. Il faut donc considérer les données de l’ordinateur comme compromises, et modifier tous ses mots de passe, changer de carte bancaire et faire attention à des exploitations malveillantes des documents volés. Mais au moins, aucun document n’est perdu, même si l’utilisateur n’avait pas fait suffisamment de sauvegardes.

L’outil de SentinelOne n’est pas simple à déployer pour quelqu’un sans compétences techniques, et les développeurs ont annoncé qu’ils publieraient une version plus grand public. En attendant, ils mettent un tutoriel à disposition;

Les rançonneurs comptaient-ils vraiment sur le paiement de la rançon ?

EvilQuest n’est pas un ransomware comme les autres : les rançonneurs ne donnent aucun moyen de contact dans leur note de rançon. En conséquence, il est impossible pour eux de savoir l’identité de la victime en cas de paiement. Sans un échange par email, les cybercriminels ne peuvent tout simplement pas remplir leur promesse et communiquer la clé de déchiffrement des données aux payeurs, puisqu’ils n’ont pas leur adresse…

Si les opérateurs de EvilQuest (aussi surnommé ThiefQuest) en sont certainement conscients, ce n’est pas le cas de toutes les victimes. Le montant extrêmement faible de la rançon — entre 4 et 20 fois inférieur aux sommes demandées par les ransomwares qui visent le grand public — sert à précipiter la décision de leur cible.

S’il est toujours conseillé de ne pas payer la rançon, et d’à la place se contenter de restaurer son ordinateur à partir de sa dernière sauvegarde, certaines victimes peuvent être tentées de payer pour récupérer des documents perdus sans cela.

Les chercheurs ont trouvé les fonctions de déchiffrement dans le code d’EvilQuest

Dans leur rapport technique, les analystes de SentinelOne détaillent comment ils ont fouillé le code d’EvilQuest. Alors qu’ils s’apprêtaient à un lourd travail de rétro-ingénierie pour comprendre le chiffrement, ils ont rapidement trouvé la fonction chargée d’effectuer le déchiffrement, laissée sans trop de raison dans le code. Et ce n’est pas tout : la clé de chiffrement utilisée était aussi mal dissimulée.

Avec ces deux éléments, il n’a pas fallu trop d’effort aux experts pour détourner l’usage de la fonction de déchiffrement à leur avantage, et ainsi débloquer les données.

Il faut avoir le réflexe de chercher ce genre de décrypteur gratuit si vous êtes touchés par un rançongiciel grand public. Bien moins complexes que les rançongiciels destinés à paralyser des entreprises entières (comme Sodinokibi ou Maze), ils contiennent souvent des vulnérabilités qui permettent aux chercheurs en cybersécurité de les casser.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.