Un déchiffreur universel pour le ransomware REvil disponible gratuitement pour tous

L’outil permet de déchiffrer les ordinateurs touchés avant le 13 juillet.

L’entreprise Bitdefender, spécialisée dans la cybersécurité, a annoncé la disponibilité d’un déchiffreur universel pour le ransomware REvil/Sodinokibi. La société indique que cet outil a été créé en collaboration avec « un partenaire de confiance des forces de l’ordre ». Ce déchiffreur permet d’aider les victimes du ransomware à restaurer leurs fichiers et à se remettre des attaques. L’outil fonctionne pour toutes les personnes touchées avant le 13 juillet 2021.

L’outil doit être connecté à internet pour fonctionner.

Ce 13 juillet, certaines parties de l’infrastructure de REvil se sont déconnectées, laissant les victimes infectées qui n’avaient pas payé leur rançon, incapables de récupérer leurs données cryptées. Cet outil de déchiffrement offrira à ces personnes la possibilité de reprendre le contrôle de leurs données.

Bitdefender indique qu’une enquête est en cours et qu’ils ne peuvent communiquer qu’un nombre limité d’infirmations. Les forces de l’ordre et Bitdefender estiment cependant qu’il est important de libérer le déchiffreur universel avant la fin de l’enquête pour aider autant de victimes que possible.

L’interface de l’outil est particulièrement simple à prendre en main.

La société de sécurité pense que de nouvelles attaques de REvil sont imminentes. En effet, les serveurs des opérateurs du ransomware et leur infrastructure de soutien sont récemment revenus en ligne après une interruption de deux mois. Bitdefender demande à toutes les organisations d’être en alerte et les incite à prendre les précautions nécessaires.

Qui est REvil/Sodinokibi ?

REvil, connu aussi sous le nom de Sodinobiki, est un « Ransomware-as-a-Service » (RaaS). C’est-à-dire qu’ils est basé sur un modèle d’abonnement qui permet aux affiliés d’utiliser les outils du ransomware déjà développés pour exécuter des attaques de ransomware. Les affiliés gagnent un pourcentage de chaque paiement de rançon réussi.

Selon toute vraisemblance, le cœur opérationnel de REvil est situé dans un pays de la Communauté des États indépendants (CEI). Il a émergé en 2019 en tant que successeur du ransomware GandCrab, aujourd’hui disparu. C’est l’un des ransomwares les plus prolifiques du dark web. Ses affiliés ont ciblé jusqu’à présent des milliers d’entreprises technologiques et de commerces à travers le monde.

Après avoir chiffré avec succès les données d’une entreprise, les filiales de REvil exigent des rançons importantes pouvant atteindre 70 millions de dollars en échange d’une clé de déchiffrement. En échange, ces filiales assurent qu’elles ne publieront pas les données internes récupérées lors de l’attaque.

Les victimes du ransomware REvil peuvent télécharger gratuitement l’outil de décryptage à l’adresse suivante.