MarsJoke Ransomware vaincu en raison d'erreurs cryptographiques

MarsJoke Ransomware vaincu en raison d'erreurs cryptographiques

Advertisement

MarsJoke Ransomware vaincu en raison d'erreurs cryptographiques

Le rançongiciel MarsJoke , qui attaque les petits portails .edu et .gov, aurait été piraté à cause des faiblesses de sa cryptographie, permettant aux victimes de débloquer des fichiers précédemment cryptés.

Lisez également: Factom obtient un contrat de financement de série A de 4,2 M $ avec Tim Draper

Une équipe de recherche brise le cryptage de Ransomware

Une équipe anti-rançon de Kaspersky Lab composée de trois chercheurs - Anton Ivanov, Orkhan Mamedov et Fedor Sinitsyn - a fini par faire le ransomware.

Selon l'équipe, les développeurs de MarsJoke ont fait une erreur qui a permis la percée.

Plus précisément, l'erreur réside dans le pseudo-aléatoire n MarsJoke Ransomware vaincu en raison d'erreurs cryptographiques
L'exécution du générateur d'ombre, qui a permis à Kaspersky de casser une chaîne aléatoire dans le générateur de clé. À leur tour, les chercheurs pourraient alors rechercher un ensemble de clés possibles en seulement «quelques minutes» sur un PC standard.

De plus, les chercheurs ont déclaré qu'une couche supplémentaire de chiffrement reposait sur une archive protégée par mot de passe. Cependant, l'équipe a également cassé cette couche supplémentaire de chiffrement sans trop de difficulté

Le générateur de nombres mal géré semble être la grâce salvatrice de l'équipe. Autre que cette erreur, ils ont dit que les développeurs ransomware mis en place le reste de la cryptographie "presque sans faille".

Ajout de MarsJoke à la liste croissante de Defeated Ransomware

MarsJoke Ransomware vaincu en raison d'erreurs cryptographiques
Ainsi, Kaspersky Lab a ajouté les clés de déchiffrement MarsJoke à son décrypteur Rannoh. Cela décrypte également les fichiers cryptés avec Rannoh, CryptXXX et Fury ransomware. Tout cela est disponible sur NoMoreRansom.org.

Cela fait suite à un effort plus vaste de la part des forces de l'ordre mondiales et d'autres pour combattre les rançongiciels. Plus précisément, l'initiative No More Ransom de Kaspersky fonctionne de concert avec des géants de la sécurité comme Intel Security et la police nationale néerlandaise.

L'initiative a commencé cet été et a publié des clés pour une autre variété de ransomware, Wildfire. Avec l'aide de Kaspersky et d'Intel Security, les autorités néerlandaises ont réussi à neutraliser le service de commande et de contrôle des logiciels malveillants. Cependant, c'était après que les développeurs aient déjà volé 78 000 $ des victimes.

Ransomware évolue, mais les victimes ont plus d'options

Le site NoMoreRansom.org est désormais un guichet unique pour les utilisateurs ayant besoin de clés de décryptage pour une variété de souches de ransomware. Des clés pour des variantes telles que Chimera, Teslacrypt, Shade, et maintenant MarsJoke, sont affichées sur le site.

De plus, Kaspersky a ajouté que le rançongiciel MarsJoke ressemblait visuellement à une variante plus ancienne, plus connue, appelée CTB-Locker. Ce ransomware particulier était l'une des premières souches de crypto à vraiment faire du bruit, il y a plus de deux ans

En outre, les chercheurs ont déclaré que la méthode d'infection de ransomware est via le courrier électronique de spam, et par les utilisateurs ouvrant un fichier .RAR malveillant. Après cela, les fichiers de l'utilisateur seront cryptés. Cependant, en signe de bonne foi, le malware offre aux victimes la possibilité de déchiffrer plusieurs fichiers gratuitement. Après cela, ils doivent payer en Bitcoin.

Que pensez-vous de Kaspersky Lab brisant le cryptage de MarJoke Ransomware? Faites-nous savoir dans les commentaires ci-dessous!

Laisser une réponse