Le ransomware Ziggy met fin à ses activités et publie ses clés de déchiffrement

0

L’opération de rançongiciel Ziggy a mis fin à ses activités et a partagé les clés de déchiffrement des victimes après des inquiétudes concernant les activités récentes des forces de l’ordre et une certaine culpabilité envers les victimes.

Au cours du week-end dernier, le chercheur en sécurité M. Shahpasandi a déclaré que l’administrateur du ransomware Ziggy avait annoncé sur Telegram qu’il mettait fin à son opération et libérerait toutes les clés de déchiffrement.

ziggy

Dans une interview, l’administrateur du ransomware a déclaré avoir créé le ransomware pour générer de l’argent alors qu’ils vivaient dans un «pays du tiers monde».

Après s’être senti coupable de ses actions et de ses préoccupations concernant les récentes opérations d’application de la loi contre les ransomwares Emotet et Netwalker, l’administrateur a décidé de tout arrêter et de publier toutes les clés.

Aujourd’hui, l’administrateur du ransomware Ziggy a publié un fichier SQL contenant 922 clés de déchiffrement pour les victimes. Pour chaque victime, le fichier SQL répertorie trois clés nécessaires pour décrypter leurs fichiers chiffrés.

ziggy

L’administrateur du ransomware a également publié un décrypteur [VirusTotal] que les victimes peuvent utiliser avec les clés répertoriées dans le fichier SQL.

ziggy

En plus du déchiffreur et du fichier SQL, l’administrateur du ransomware a partagé le code source d’un déchiffreur différent qui contient des clés de déchiffrement hors ligne.

Les infections par ransomware utilisent des clés de décryptage hors ligne pour décrypter les victimes infectées sans être connectées à Internet ou le serveur de commande et de contrôle était inaccessible.

ziggy

L’administrateur du ransomware a également partagé ces fichiers avec l’expert en ransomware Michael Gillespie qui a créé un décrypteur pour le ransomware Ziggy en utilisant les clés publiées.

ziggy

Bien que l’administrateur du ransomware semble honnête dans son intention d’arrêter et de partager les clés, il est conseillé d’utiliser le décrypteur d’une entreprise de sécurité plutôt que celui fourni par un pirate informatique.

« La publication des clés, que ce soit volontairement ou involontairement, est le meilleur résultat possible. Cela signifie que les victimes peuvent récupérer leurs données sans avoir à payer la rançon ou utiliser le décrypteur du développeur, qui pourrait contenir une porte dérobée et/ou des bogues. Et, bien sûr, cela signifie aussi qu’il y a un groupe de ransomwares en moins qui ne nous inquiétera plus. « 

L’administrateur de Ziggy a pris peur

« La récente arrestation d’individus associés à l’opération Emotet et Netwalker pourrait inciter certains pirates informatiques à prendre peur. Si tel est le cas, nous pourrions bien voir davantage de groupes cesser leurs opérations et remettre leurs clés. Croisons les doigts », a déclaré Brett Callow d’Emsisoft.

La semaine dernière, l’opération de rançongiciel Fonix s’est également arrêtée et a partagé les clés et le décrypteur. L’administrateur de Ziggy a déclaré qu’il était ami avec l’opérateur du rançongiciel Fonix et qu’ils venaient du même pays.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.