Ca fait longtemps que j'ai pas posté ici.
Voilà 3 gros soirs que je m'occupe de l'ordi de mon oncle à distance. Il était encore sous XP et s'est bouffé un bon gros ransomware. Pour rappel ça chiffre tous vos jpg doc mp3 pdf et équivalents en échange d'un paiement en bitcoin via TOR sans aucune garantie (si ça s'trouve le mec est déjà en taule ou quoi ...).
Si ça vous arrive commencez par vous renseigner sur le ransomware reconnaissable par le fichiers de demande de rançon. Dans ce cas, la technique de chiffrement ne semble pas laisser de traces dans l'OS donc vous pouvez tranquillement récupérer tous les fichiers (après s'être débarrassé du virus évidemment...) et préparer la réinstallation.
Le plus gros chalenge à été de faire installer un windows 7 via une clé USB à quelqu'un qui n'y connait rien (utilisez Rufus pour transformer vos iso en clé USB bootable ça marche avec tout mangez-en)
Une fois cette étape passée rien de bien fou finalement. J'ai récupéré 3 fichiers sur mon ordi pour y passer une série de scripts en python capables d'en tirer la clé publique de chiffrement et de faire de la "factorisation en produits de facteurs premiers". J'y connais pas grand chose en cryptologie mais le bousin m'a balancé une dizaine de facteurs en moins de 5 minutes qui ont permit à un troisième script de trouver la clé privée.
Enfin il suffit d'indiquer votre paire de clés à un dernier script qui s'occupera de déchiffrer un dossier indiqué, de façon récursive, en supprimant proprement les fichiers pourris.
python script.py .\Documents -delete
Et magie, une heure après, 50Go de photos, ziks, et documents récupérés, dans leur arborescence originale, et avec un core 2 duo cheapos messieurs dames !
Voilà, j'ai jamais tenté de récupérer les fichiers chez les rares clients à qui s'est arrivé, mais la j'ai voulu tenter le coup et j'étais assez bluffé. Bon évidement c'est crypté en 128 bits pour que le ransomware agisse au plus vite mais tout de même.
TLDR:
- Rappelez aux gens que non, on n'ouvre pas une pièce jointe exécutable ou .doc avec des macros qui demandent 12 confirmations de l'antivirus/smartscreen/uac/etc.
- Y'a tout un tas de gens super cools qui s'font chier à faire des scripts ultra simples à utiliser pour aider les inconscients qui font ce genre de conneries.
- Pensez à leur donner 10 balles si en plus vous avez été rémunérés et que vous n'y seriez pas arrivés sans eux