WannaCrypt est un coup entendu à travers le monde, c'est sûr.
J'ai vu des articles de presse disant que les gens avaient payé plus de 20 000 $ en rançons. En voici un de Krebs: Les auteurs d'une épidémie mondiale de rançongiciels "Wana" ont gagné 26 000 $ jusqu'à présent
Mais ma question est: quelqu'un a-t-il réussi à déchiffrer ses fichiers après avoir payé?
Oui , certains ont apparemment fait déchiffrer leurs fichiers après avoir payé la rançon.
Nous avons la confirmation que certaines des 200+ victimes de #WannaCry qui ont payé la rançon ont récupéré leurs fichiers. Pourtant, pas recommandé.
(tweeté par Mikko Hypponen, CRO chez F-Secure, le 15 mai 2017)
Mais il n'y a absolument aucune garantie de déchiffrer le vôtre après avoir payé et les chances semblent assez faibles, d'autant plus que ce n'est pas un processus automatisé mais nécessite une interaction avec un opérateur humain. Les chercheurs en sécurité fortement déconseillent de payer la rançon .
Pour être franc, le paiement de la rançon est un dilemme typique des prisonniers. Si personne ne décrypte le fichier (certaines entreprises auront une évaluation de la sécurité et une politique de partage d'informations avec l'autorité), cela détruira la réputation de l'attaquant du ransomware, détruisant ainsi la future "perspective". Cependant, il y a des chances que l'attaquant ransomwware fasse des erreurs.
Le problème réside dans la clé de cryptage. Pour maximiser le profit de la rançon, générez une nouvelle clé de chiffrement sur chaque PC. Cependant, cela introduira également un risque de disparition de la clé de chiffrement lors de la transition vers le serveur C&C (commande et contrôle) des méchants.
Donc, avoir pré-généré la clé de chiffrement garantira un déchiffrement, mais cela signifie également que ceux qui paient peuvent "réutiliser" la clé de déchiffrement dans de nombreux PC.
(mise à jour): comme suggéré par @Josef, l'attaquant peut utiliser une clé asymétrique pour crypter une clé unique adhoc. C'est à dire. Le code Ransomeware utilise une clé publique pour crypter la clé cryptographique adhoc. Cela signifie que le logiciel malveillant doit renvoyer ces données de chiffrement de premier niveau au serveur C&C. Mais il y a un hic pour ce mécanisme: si l'autorité bloque la propriété intellectuelle des C&C, cela "nuira" au "rendement des ventes" du syndicat (sarcasme).
Oui, certaines victimes ont reçu la clé de décryptage après avoir payé la rançon. Cependant, en raison de l'ampleur de l'infection et de la façon dont le ransomware est codé, il est probable que les criminels ne seront pas en mesure d'honorer les demandes de décryptage:
Ces maigres bénéfices peuvent provenir en partie du fait que WannaCry remplit à peine ses fonctions de rançon de base, explique Matthew Hickey, chercheur à la firme de sécurité londonienne Hacker House. Au cours du week-end, Hickey a fouillé dans le code de WannaCry et a constaté que le logiciel malveillant ne vérifie pas automatiquement qu'une victime particulière a payé la rançon de 300 $ Bitcoin demandée en leur attribuant une adresse Bitcoin unique. Au lieu de cela, il ne fournit qu'une des quatre adresses Bitcoin codées en dur, ce qui signifie que les paiements entrants n'ont pas de détails d'identification qui pourraient aider à automatiser le processus de décryptage . Au lieu de cela, les criminels eux-mêmes ont dû déterminer quel ordinateur décrypter à mesure que les rançons entrent, un arrangement intenable compte tenu des centaines de milliers d'appareils infectés . "Il s'agit vraiment d'un processus manuel à l'autre bout, et quelqu'un doit accuser réception et envoyer la clé", explique Hickey.
Hickey prévient que la configuration conduira inévitablement les criminels à ne pas décrypter les ordinateurs même après le paiement . Il dit qu'il a déjà surveillé une victime qui a payé il y a plus de 12 heures et n'a toujours pas reçu de clé de décryptage. "Ils ne sont pas vraiment prêts à faire face à une épidémie de cette ampleur", déclare Hickey.
( Source ici . Je souligne.)
Notez que si votre machine infectée fonctionne sous Windows XP, vous pourrez peut-être récupérer vos fichiers gratuitement. Il existe un moyen de récupérer la clé de déchiffrement de la RAM , donc à condition que vous n'ayez pas éteint la machine après l'infection, vous pourrez peut-être récupérer vos données sans payer de rançon.
EDIT: bonne nouvelle, cette méthode fonctionne également pour toutes les versions de Windows de XP à 7 .
Tout décryptage réussi n'est pas connu et pas la façon dont le paiement de la rançon est lié au PC infecté. Mais regardez le nombre de rançons payées: environ 269 cas connus (surveillance des portefeuilles bitcoin; voir https://Twitter.com/actual_ransom ) contre les infections connues (220.000).