L'éditeur d'antivirus Bitdefender vient de publier un outil de déchiffrement pour la variante Bart du ransomware Locky. Selon l'entreprise, l'ensemble des variantes connues sont couvertes.
Les outils de désinfection sont toujours une bonne publicité pour les éditeurs d'antivirus, surtout quand ils permettent d'économiser. Bitdefender a mis en ligne un outil de déchiffrement des fichiers affectés par le rançongiciel ransomware Bart, une variante du malware Locky, devenu célèbre l'an dernier.
Payer n'est pas la solution
Pour mémoire, un ransomware est un logiciel qui chiffre les fichiers de l'utilisateur et demande une rançon en échange de la clé de déchiffrement. En général, cela passe par l'envoi de quelques centaines d'euros en bitcoins. Payer est peu recommandé, à la fois parce que cela encourage la pratique et qu'il n'y a aucune garantie de récupérer les fichiers affectés.
Bart a un fonctionnement assez simple. Il supprime les points de restauration système, puis chiffre les fichiers de l'utilisateur à l'aide de clés générées localement. Il laisse enfin une note avec des instructions sur le bureau... Demandant l'envoi de bitcoins via une page dédiée sur un service Tor. Selon Malwarebytes, le réseau serait maintenu par des pirates différents que ceux derrière le Locky d'origine.
L'ensemble des variantes couvertes
Bitdefender affirme que son outil fonctionne avec l'ensemble des échantillons essayés, avec des extensions en « .bart », « .bart.zip » et « .perl ». Il propose d'analyser un dossier particulier ou le système entier, avec l'option de sauvegarder les fichiers.
L'outil est à la fois téléchargeable sur le site de l'éditeur et chez No More Ransom, un collectif dédié à la lutte contre les rançongiciels, auxquels participent des professionnels et Europol (via EC3). Pour référence, Locky était l'une des menaces les plus discutées lors de la dernière Botconf en novembre, qui regroupe des chercheurs et acteurs de la lutte contre les botnets.
