Le ransomware Avaddon reçoit un patch pour un bug de décryptage

Le groupe derrière le ransomware Avaddon a corrigé un bug qui permettait aux victimes de récupérer leurs fichiers sans payer de rançon. La faille est apparue après qu’un chercheur en sécurité l’ait exploitée pour créer un déchiffreur.

Javier Yuste, un étudiant à l’Université Rey Juan Carlos, a publié un déchiffreur pour le ransomware Avaddon sur sa page GitHub et a publié un rapport décrivant la faille via ArXiv.

Selon les recherches de Yuste, lorsque le ransomware Avaddon crypte un appareil, il crée une clé de session de cryptage AES256 unique utilisée pour crypter et décrypter les fichiers.

Une faille dans la façon dont le ransomware efface cette clé a cependant permis à Yuste de créer un décrypteur qui récupère la clé de la mémoire tant que l’ordinateur n’a pas été éteint depuis son cryptage.

Les développeurs d’Avaddon patch la faille de cryptage

Comme indiqué pour la première fois par ZDnet, un jour après la publication du décrypteur, le développeur du ransomware Avaddon a publié sur un forum de hackers qu’il avait corrigé la faille.

“Seuls ni le décrypteur, ni une attention aussi étroite ne nous arrêteront. Au contraire, nous avons analysé la situation, identifié les faiblesses et trouvé une solution.”

«Nous avons déjà mis en œuvre une solution au problème qui rendra impossible le décryptage par des tiers», a écrit le développeur d’Avaddon dans un message du forum.

avaddon

Pour indemniser les affiliés de l’opération dont les victimes peuvent avoir reçu un décryptage gratuit, le développeur du ransomware a augmenté la part des revenus des affiliés jusqu’à 80%. La part de revenu normale des affiliés d’Avaddon est de 65 à 75%, en fonction du nombre de victimes qu’ils génèrent.

Les individus malveillants lisent les mêmes informations sur la sécurité que vous

Il est important de se rappeler que les pirates informatiques suivent les mêmes flux d’actualités que vous.

Dans le passé, les opérations de ransomware telles que GandCrab et Maze ont régulièrement nargué les sociétés d’antivirus et les chercheurs après la publication d’actualités ou de recherches.

Un individu malveillant est allé jusqu’à créer un ransomware appelé «Fabiansomware» en s’inspirant de l’expert en ransomware Fabian Wosar.

fabiansomware

Ainsi, il est toujours essentiel de supposer que toute faille de ransomware révélée ouvertement sera également vue par un pirate informatique.

Nous avons vu cela avec CryptoDefense, DarkSide et maintenant Avaddon.

Pour cette raison, la plupart des experts en rançongiciels ne pensent pas que les sociétés de sécurité et les chercheurs devraient publier des failles de cryptage ou des décrypteurs, car cela permet aux individus malveillants de corriger les bogues de leurs logiciels malveillants.

Au lieu de cela, il est suggéré que ceux qui créent un décrypteur contactent les sociétés d’antivirus, les sociétés de réponse aux incidents et les forces de l’ordre qui aident généralement les victimes de ransomwares.

Ces décrypteurs peuvent ensuite être utilisés par ces organisations pour aider les victimes en privé, tout en ne révélant pas publiquement aux développeurs de ransomwares comment corriger leurs failles.

Si cet article vous a plu, jetez un œil notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires