Ransomware actif en France depuis 2018, PyLocky a droit aux attentions des policiers français, qui mettent librement à disposition un outil de déchiffrement, et en profitent pour rejoindre l’initiative européenne NoMoreRansom.
Si ce sont tous deux des ransomwares, PyLocky ne doit pas être confondu avec Locky. Il ne fait que recopier la méthode de diffusion (par lien ou pièce jointe infectés) et la demande de rançon du tristement célèbre programme malveillant qui avait tant fait parler de lui en 2016. PyLocky, écrit en Python comme son nom le laisse entendre, est actif pour sa part depuis 2018 et a une appétence toute particulière pour les entreprises françaises.
Ce n’est donc pas un hasard si le premier outil de déchiffrement rendu librement accessible par les autorités françaises le concerne en particulier. Le ministère de l’Intérieur a en effet publié sur cybermalveillance.gouv un utilitaire de déchiffrement, fruit de la collaboration de la BEFTI (Brigade d’enquêtes sur les fraudes aux technologies de l’information), de la Direction régionale de la police judiciaire de Paris et du Service des technologies et des systèmes d’information de la sécurité intérieur, associés à des « chercheurs en sécurité bénévoles ».
Unlocked
L’outil, disponible gratuitement et accompagné de sa documentation technique, permet de déchiffrer les fichiers chiffrés par PyLocky dans ses versions 1 (extension de fichier en .lockedfile ou .lockymap) et 2 (.locky). A noter que l’outil fonctionne sur Windows à partir de 7 et exige Java JRE 8.
Attention néanmoins, l’outil est fourni sans support ni garantie de fonctionnement, sachant qu’il pourrait s’avérer inefficace face à d’autres déclinaisons de PyLocky.
En outre, l’utilitaire permet de déchiffrer les fichiers mais n’élimine pas pour autant PyLocky de la machine infectée.
Cet outil est également disponible sur la plateforme NoMoreRansom, une initiative européenne rassemblant des outils de déchiffrement et associant polices, chercheurs et entreprises, que notre police nationale rejoint officiellement.