dadoudidon

Je rejoins Piwi. Je n'ai aucune information de personne ayant pu récupérer ses fichiers Cryptolockés grace à un logiciel ou service tiers.

alors pour ceux qui sont coincés, payer ou ne pas payer? Lors de l'attaque cryptolocker sur les serveur en début d'année, nous avons eu un client que devait retrouver ses données (pas sauvegardées malgré nos directives!) Ce que l'on a pu voir sur les forum c'était que ceux qui avaient payé avaient tous reçu l'exe de décryptage. le pirate demandait de lui envoyer par mail deux fichiers cryptés ainsi que le fichier txt comprenant un texte d'explication et une clé (ce fichier était présent dans tous les rep cryptés. Ils ont reçus sous un ou deux jours les fichiers décryptés. je sais qu'un client a payé et il a reçu un exe qui lorsque lancé a bien tout decrypté. Le but des pirates est de se faire de la monnaie. donc il ont tout intérêt à faire le job, gage de leur "confiance". Après se pose le problème de la déontologie (payer un pirate!) Se pose aussi la question du mode opératoire de la crypto sur le NAS qui est peut être différent que sur les pc. il y a sur les nas peut être un moyen de decrypter les fichiers (mais perso j'en doute). Aussi, le fait que le cryptage soit long sur un nas à cause du processeur bien moins performant que sur un serveur, certains ont arrêté leur NAS en cours cryptage et là il y a peut être moyen de faire machine arrière. Par contre je ne crois pas que le prix va augmenter au bout du compte à rebours (c'est mon avis perso). c'est juste une pression supplémentaire pour accélérer le paiement. En tout cas, je pense que cette alerte permettra aux processeurs de NAS que ces derniers sont des solutions de stockage et non une sauvegarde et qu'il est indispensable d'en sauvegarder régulièrement le contenu. La leçon est un peu rude je l'avoue. Bon courage à tous

Logiquement dans le fonctionnement de cryptolocker, la clé de cryptage est supprimée à la fin de l'opération de cryptage, tout comme lexécutable. Par contre pour ceux qui ont un nas partiellement crypté, il y a fort à parier que lexécutable ainsi que la clé publique de cryptage soit encore présents. pour info voici le fonctionnement de cryptolocker sur PC: Si un utilisateur clique sur un lien malveillant présent dans les spams envoyés par les auteurs de la menace, plusieurs logiciels malveillants sinstallent en utilisant des exploits du système. Le ransomware va tenter détablir la communication avec le serveur de contrôle par plusieurs moyens. Il va notamment essayer de se connecter au serveur dont ladresse IP est 184.164.136.134. Une fois la connexion établie, il va générer localement une clé aléatoire de chiffrement en utilisant un algorithme symétrique AES 256. Cette clé va alors être transmise au serveur de contrôle des pirates. Pour éviter de faire transiter cette clé en clair, cette dernière est chiffrée avec une clé publique RSA de 2048 bits, présente dans le logiciel malveillant, en sappuyant sur un algorithme asymétrique pour générer la paire de clés privée/publique. Le logiciel va ensuite identifier les fichiers en fonction de leurs types (Microsoft office, OpenOffice, images jpeg, etc.) et les chiffrer à laide de la clé AES. Cette dernière est ensuite supprimée du poste de lutilisateur. A ce stade, la clé AES permettant de déchiffrer le contenu infecté est présente uniquement sur le serveur de contrôle des pirates, cette même clé na pu être interceptée lors de lenvoi au serveur C&C à cause dune surcouche de chiffrement en utilisant un algorithme asymétrique (clé publique).

mais cryptolocker n'encode qu'une petite partie des fichiers et non tout le disque. C'est pour celà que c'est super rapide. A mon avis, les fichiers doivent encore être visible (à brancher sur un pc par exemple). Par contre impossible de les utiliser car corrompus. J'espère que la méthode utilisée n'est pas identique à celle de cryptolocker, sinon c'est mort pour retrouver les fichiers

Il y a peu de chance pour qu'un soft puisse décrypter qui que ce soit. avec un clé RSA en 2048!!! http://en.wikipedia.org/wiki/CryptoLocker

oui foxdream, les fichiers ne sont pas cryptés dans leur intégralité. seul les premiers et derniers bits le sont. C'est comme cryptolocker sur pc. Par contre je vous assure qu'il n'y a aucun moyen de récupérer ses fichiers sans payer. Nous avons eu des attaques chez des clients avec cryptolocker et nous n'avons trouvé aucune solution que de restaurer des sauvegardes ou alors de tout formater quand il n'y a vait pas de sauvegarde. Sinon on transpire un peu là! On a au moins 20 Nas Syno chez nos clients. mais pour le coup là au moins ils sont tous à jour