Lancement de l’outil gratuit de déchiffrement de Thanatos Ransomware

Si votre ordinateur a été infecté par Thanatos Ransomware et que vous êtes à la recherche d’un outil gratuit de décryptage ransomware pour déverrouiller ou déchiffrer vos fichiers, votre recherche est terminée.

Les chercheurs en sécurité de Cisco Talos ont découvert une faiblesse dans le code de rançongiciel Thanatos qui permet aux victimes de débloquer leurs fichiers cryptés Thanatos gratuitement sans payer de rançon dans les crypto-monnaies.

Comme toutes les menaces de ransomware, Thanatos crypte les fichiers et demande aux victimes de payer une rançon dans plusieurs crypto-monnaies, y compris Bitcoin Cash, pour déchiffrer leurs fichiers.

"Plusieurs versions de Thanatos ont été exploitées par des attaquants, indiquant qu’il s’agit d’une menace en constante évolution qui continue d’être activement développée par des acteurs de la menace avec plusieurs versions ayant été distribuées dans la nature", affirment les chercheurs.

"Contrairement aux autres rançongiciels distribués, Thanatos ne demande pas de paiements de rançon à l’aide d’une seule crypto-monnaie comme Bitcoin, mais plutôt de paiements de rançon sous forme de Bitcoin Cash (BCH), Zcash (ZEC), Ethereum ( ETH) et d’autres. "

Une fois infectée, toutes les extensions de nom de fichier cryptées sur l’ordinateur affecté sont changées en .THANATOS, puis une note de rançon apparaît chaque fois que l’utilisateur tente de se connecter au système, lui demandant d’envoyer l’argent de la rançon à une adresse de crypto-monnaie. afin de déchiffrer les fichiers.

Cependant, comme Thanatos utilise des clés de chiffrement différentes pour chiffrer chaque fichier sur un système infecté sans les stocker n’importe où, il est impossible pour les auteurs de malware de retourner les données des utilisateurs, même si les victimes paient la rançon.

Outil gratuit de déchiffrement de Thanatos Ransomware

Les chercheurs de Cisco ont analysé le code malveillant et ont trouvé une faille dans la conception de la méthodologie de chiffrement de fichiers utilisée par Thanatos. Ils ont développé un outil gratuit de déchiffrement de rançongiciels qui aidera les victimes à déchiffrer leurs fichiers.

Surnommé ThanatosDecryptor , l’outil de décryptage gratuit ransomware open source peut être téléchargé à partir du site Web GitHub, qui a été récemment acquis par Microsoft pour 7,5 milliards de dollars, et fonctionne pour Thanatos ransomware versions 1 et 1.1

Comme les clés de chiffrement utilisées par Thanatos sont basées sur le nombre de millisecondes écoulées depuis le dernier démarrage du système, les chercheurs ont pu inverser la logique et générer à nouveau la même clé de chiffrement 32 bits en utilisant l’attaque par force brute et les journaux d’événements Windows. .

"Puisque Thanatos ne modifie pas les dates de création de fichiers sur les fichiers cryptés, l’espace de recherche des clés peut encore être réduit à environ le nombre de millisecondes dans la période de 24 heures précédant l’infection", expliquent les chercheurs.

"Avec une moyenne de 100 000 tentatives de force brute par seconde (ce qui était la référence dans une machine virtuelle utilisée pour les tests), il faudrait environ 14 minutes pour récupérer la clé de chiffrement dans ces conditions."

Pour plus de détails sur le rançongiciel Thanatos, vous pouvez vous diriger vers un article de blog détaillé publié par Cisco Talos aujourd’hui.

Comment se protéger des attaques de ransomware

La plupart des rançongiciels se propagent par le biais d’e-mails de phishing, d’annonces malveillantes sur des sites Web et d’applications et de programmes tiers. Que ce soit Locky, CoinVault, Thanatos, TeslaCrypt ou tout autre logiciel malveillant ransomware, les mesures de protection sont standard.

Pour vous protéger contre de telles attaques de ransomware, vous devez toujours vous méfier des documents non invités envoyés dans un courrier électronique et ne jamais cliquer sur les liens à l’intérieur de ces documents sans vérifier leurs sources.

Vérifiez si les macros sont désactivées dans vos applications MS Office. Si ce n’est pas le cas, bloquez l’exécution des macros dans les fichiers MS Office à partir d’Internet.

Afin de toujours maîtriser tous vos documents importants, gardez en place une bonne routine de sauvegarde qui effectue des copies de vos fichiers sur un périphérique de stockage externe qui n’est pas toujours connecté à votre PC.

De plus, assurez-vous que vous exécutez sur votre système une suite de sécurité antivirus comportementale active capable de détecter et de bloquer ces logiciels malveillants avant qu’ils ne puissent infecter votre appareil, et n’oubliez pas de les tenir à jour.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image