Le ransomware est un type de logiciel malveillant qui chiffre les données de ses victimes et exige une rançon pour les déchiffrer. Face à cette menace, CyberArk, une entreprise leader dans le domaine de la sécurité des identités et de la gestion des accès, a développé un outil en ligne gratuit et open source pour aider les victimes à récupérer leurs fichiers partiellement cryptés : White Phoenix.
White Phoenix est un décrypteur de ransomware en ligne qui cible les opérations utilisant le chiffrement intermittent. Il s’agit d’une méthode employée par certains ransomwares pour accélérer le processus de chiffrement en ne cryptant que partiellement les fichiers des victimes. Cela leur permet de lancer des attaques plus rapides tout en empêchant les victimes de restaurer leurs données sans payer.
White Phoenix exploite la faiblesse de cette méthode, qui laisse des parties des données non cryptées dans les fichiers. Si ces parties contiennent des informations utiles, notamment au début et à la fin du fichier, les chances de reconstruire et de restaurer le fichier sans payer pour un décrypteur sont augmentées.
White Phoenix tente de récupérer du texte dans les documents en concaténant les parties non cryptées et en inversant l’encodage hexadécimal et le brouillage CMAP (character mapping).
L’utilisation de White Phoenix est très simple. Il suffit de télécharger vos fichiers sur le site web de cet outil en cliquant sur le bouton « Choose file », et puis de cliquer sur le bouton « Recover File » et de laisser l’outil travailler. Actuellement, il prend en charge les PDFs, les documents Word et Excel, les ZIPs et PowerPoint jusqu’à une limite de taille de fichier de 10MB.
Si vous souhaitez décrypter des fichiers plus volumineux ou des machines virtuelles (VMs), vous pouvez télécharger la version GitHub de White Phoenix et l’utiliser localement. Il s’agit d’un projet Python que vous pouvez exécuter avec le code source fourni.
White Phoenix ne peut aider que les victimes touchées par les ransomwares qui utilisent le chiffrement intermittent. Il s’agit notamment de Blackcat/ALPHV, Play, Qilin/Agenda, BianLian et DarkBit. Il n’existe actuellement aucun décrypteur fonctionnel pour ces familles de ransomwares, ce qui limite les options de restauration.
White Phoenix n’est pas une solution miracle pour restaurer des systèmes entiers, mais il peut être utile pour récupérer des fichiers précieux ou extraire certaines données. Il est basé sur des techniques de restauration manuelle utilisées par des experts en données, mais il peut ne pas fonctionner correctement selon le type de fichier et le ransomware.
CyberArk a précédemment indiqué que certains éléments doivent être lisibles dans les fichiers selon leur type pour que le décrypteur fonctionne correctement. Par exemple, les fichiers ZIP doivent contenir la chaîne « PK\x03\x04 » et les PDFs doivent contenir « 0 obj » et « endobj ».
Pour les PDFs qui contiennent des images, CyberArk suggère de cocher l’option « separate files » pour obtenir des résultats plus fiables.
Si vous travaillez avec des informations sensibles, il est recommandé de télécharger White Phoenix depuis GitHub et de l’utiliser localement plutôt que de télécharger des documents sensibles sur les serveurs de CyberArk. En effet, vous n’avez aucune garantie sur la sécurité et la confidentialité de vos données une fois qu’elles sont envoyées sur le site web de CyberArk.
De plus, il est conseillé de faire une copie de sauvegarde de vos fichiers avant d’utiliser White Phoenix, car il peut y avoir des risques de corruption ou de perte de données.
White Phoenix est un outil en ligne innovant et gratuit pour aider les victimes de ransomware à récupérer leurs fichiers partiellement cryptés. Il peut être une solution de secours pour ceux qui n’ont pas d’autre moyen de restaurer leurs données. Toutefois, il ne remplace pas une bonne protection contre le ransomware, qui passe par une mise à jour régulière de vos systèmes, une sauvegarde fréquente de vos données et une vigilance accrue face aux pièces jointes et aux liens suspects.
Cet article a été modifié pour la dernière fois le 31 janvier 2024 15h57