Web

White Phoenix : un outil en ligne pour décrypter les fichiers partiellement cryptés par les ransomwares

Le ransomware est un type de logiciel malveillant qui chiffre les données de ses victimes et exige une rançon pour les déchiffrer. Face à cette menace, CyberArk, une entreprise leader dans le domaine de la sécurité des identités et de la gestion des accès, a développé un outil en ligne gratuit et open source pour aider les victimes à récupérer leurs fichiers partiellement cryptés : White Phoenix.

Qu’est-ce que l’outil White Phoenix ?

White Phoenix est un décrypteur de ransomware en ligne qui cible les opérations utilisant le chiffrement intermittent. Il s’agit d’une méthode employée par certains ransomwares pour accélérer le processus de chiffrement en ne cryptant que partiellement les fichiers des victimes. Cela leur permet de lancer des attaques plus rapides tout en empêchant les victimes de restaurer leurs données sans payer.

White Phoenix exploite la faiblesse de cette méthode, qui laisse des parties des données non cryptées dans les fichiers. Si ces parties contiennent des informations utiles, notamment au début et à la fin du fichier, les chances de reconstruire et de restaurer le fichier sans payer pour un décrypteur sont augmentées.

White Phoenix tente de récupérer du texte dans les documents en concaténant les parties non cryptées et en inversant l’encodage hexadécimal et le brouillage CMAP (character mapping).

Comment utiliser White Phoenix ?

L’utilisation de White Phoenix est très simple. Il suffit de télécharger vos fichiers sur le site web de cet outil en cliquant sur le bouton « Choose file », et puis de cliquer sur le bouton « Recover File » et de laisser l’outil travailler. Actuellement, il prend en charge les PDFs, les documents Word et Excel, les ZIPs et PowerPoint jusqu’à une limite de taille de fichier de 10MB.

Si vous souhaitez décrypter des fichiers plus volumineux ou des machines virtuelles (VMs), vous pouvez télécharger la version GitHub de White Phoenix et l’utiliser localement. Il s’agit d’un projet Python que vous pouvez exécuter avec le code source fourni.

Quels sont les ransomwares ciblés par White Phoenix ?

White Phoenix ne peut aider que les victimes touchées par les ransomwares qui utilisent le chiffrement intermittent. Il s’agit notamment de Blackcat/ALPHV, Play, Qilin/Agenda, BianLian et DarkBit. Il n’existe actuellement aucun décrypteur fonctionnel pour ces familles de ransomwares, ce qui limite les options de restauration.

White Phoenix n’est pas une solution miracle pour restaurer des systèmes entiers, mais il peut être utile pour récupérer des fichiers précieux ou extraire certaines données. Il est basé sur des techniques de restauration manuelle utilisées par des experts en données, mais il peut ne pas fonctionner correctement selon le type de fichier et le ransomware.

CyberArk a précédemment indiqué que certains éléments doivent être lisibles dans les fichiers selon leur type pour que le décrypteur fonctionne correctement. Par exemple, les fichiers ZIP doivent contenir la chaîne « PK\x03\x04 » et les PDFs doivent contenir « 0 obj » et « endobj ».

Pour les PDFs qui contiennent des images, CyberArk suggère de cocher l’option « separate files » pour obtenir des résultats plus fiables.

Quelles sont les précautions à prendre avec cet outil ?

Si vous travaillez avec des informations sensibles, il est recommandé de télécharger White Phoenix depuis GitHub et de l’utiliser localement plutôt que de télécharger des documents sensibles sur les serveurs de CyberArk. En effet, vous n’avez aucune garantie sur la sécurité et la confidentialité de vos données une fois qu’elles sont envoyées sur le site web de CyberArk.

De plus, il est conseillé de faire une copie de sauvegarde de vos fichiers avant d’utiliser White Phoenix, car il peut y avoir des risques de corruption ou de perte de données.

White Phoenix est un outil en ligne innovant et gratuit pour aider les victimes de ransomware à récupérer leurs fichiers partiellement cryptés. Il peut être une solution de secours pour ceux qui n’ont pas d’autre moyen de restaurer leurs données. Toutefois, il ne remplace pas une bonne protection contre le ransomware, qui passe par une mise à jour régulière de vos systèmes, une sauvegarde fréquente de vos données et une vigilance accrue face aux pièces jointes et aux liens suspects.

Source

Cet article a été modifié pour la dernière fois le 31 janvier 2024 15h57

A. Hammou

Je suis un passionné de technologie et de web, toujours à l’affût des dernières innovations et tendances. J’écris des articles et des blogs sur des sujets variés, allant de la sécurité informatique à l’intelligence artificielle, en passant par les gadgets et les applications. J’aime partager mes connaissances, mes astuces et mes opinions avec mes lecteurs, en leur offrant un contenu de qualité, clair et instructif.