Il n'aura pas fallu bien longtemps aux chercheurs de SentinelOne pour casser le chiffrement de EvilQuest. Si leur outil de décryptage permettra aux victimes d'éviter le paiement de la rançon, ces dernières devront tout de même être attentives aux dégâts causés par le ransomware.

EvilQuest aura perpétré ses méfaits pendant à peine un mois avant d’être neutralisé. Ce rançongiciel (ou ransomware) vise exclusivement les Mac, dans le but d’aspirer toutes sortes de données confidentielles. Pour faire distraction, le malware chiffre de façon aléatoire les fichiers de l’ordinateur : les documents deviennent illisibles, et certains logiciels peuvent être paralysés. Ensuite, EvilQuest va laisser une demande de rançon, fixée à seulement 50 dollars payables en bitcoin. En échange de son paiement sous 72 heures, les cybercriminels promettent qu’ils donneront à la victime l’outil pour lever le chiffrement et restaurer les données.

EvilQuest vise exclusivement les ordinateurs sous macOS. // Source : Louise Audry pour Numerama

Le 7 juillet, les chercheurs de SentinelOne ont mis un terme à ce moyen de pression, en publiant un décrypteur gratuit pour tous. Cet outil va lever le chiffrement et restaurer les données : plus besoin de payer ! Malgré cette avancée, le rançongiciel fera quand même des dégâts, puisqu’il vole les données. Il faut donc considérer les données de l’ordinateur comme compromises, et modifier tous ses mots de passe, changer de carte bancaire et faire attention à des exploitations malveillantes des documents volés. Mais au moins, aucun document n’est perdu, même si l’utilisateur n’avait pas fait suffisamment de sauvegardes.

L’outil de SentinelOne n’est pas simple à déployer pour quelqu’un sans compétences techniques, et les développeurs ont annoncé qu’ils publieraient une version plus grand public. En attendant, ils mettent un tutoriel à disposition ;

Les rançonneurs comptaient-ils vraiment sur le paiement de la rançon ?

EvilQuest n’est pas un ransomware comme les autres : les rançonneurs ne donnent aucun moyen de contact dans leur note de rançon. En conséquence, il est impossible pour eux de savoir l’identité de la victime en cas de paiement. Sans un échange par email, les cybercriminels ne peuvent tout simplement pas remplir leur promesse et communiquer la clé de déchiffrement des données aux payeurs, puisqu’ils n’ont pas leur adresse…

Si les opérateurs de EvilQuest (aussi surnommé ThiefQuest) en sont certainement conscients, ce n’est pas le cas de toutes les victimes. Le montant extrêmement faible de la rançon — entre 4 et 20 fois inférieur aux sommes demandées par les ransomwares qui visent le grand public — sert à précipiter la décision de leur cible.

S’il est toujours conseillé de ne pas payer la rançon, et d’à la place se contenter de restaurer son ordinateur à partir de sa dernière sauvegarde, certaines victimes peuvent être tentées de payer pour récupérer des documents perdus sans cela.

Les chercheurs ont trouvé les fonctions de déchiffrement dans le code d’EvilQuest

Dans leur rapport technique, les analystes de SentinelOne détaillent comment ils ont fouillé le code d’EvilQuest. Alors qu’ils s’apprêtaient à un lourd travail de rétro-ingénierie pour comprendre le chiffrement, ils ont rapidement trouvé la fonction chargée d’effectuer le déchiffrement, laissée sans trop de raison dans le code. Et ce n’est pas tout : la clé de chiffrement utilisée était aussi mal dissimulée.

Avec ces deux éléments, il n’a pas fallu trop d’effort aux experts pour détourner l’usage de la fonction de déchiffrement à leur avantage, et ainsi débloquer les données.

Il faut avoir le réflexe de chercher ce genre de décrypteur gratuit si vous êtes touchés par un rançongiciel grand public. Bien moins complexes que les rançongiciels destinés à paralyser des entreprises entières (comme Sodinokibi ou Maze), ils contiennent souvent des vulnérabilités qui permettent aux chercheurs en cybersécurité de les casser.

Crédit photo de la une : pxhere

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux