Les victimes du ransomware Polyglot, aussi connu sous le nom MarsJoke, peuvent maintenant récupérer leurs fichiers grâce à l’outil de déchiffrement développé par Kaspersky Lab.
Comment fonctionne Polyglot ? Il se propage via des emails de spam qui contiennent une pièce jointe malicieuse cachée dans une archive RAR. Durant le processus de chiffrement, il ne change pas le nom des fichiers infectés mais en bloque l’accès. Une fois le processus de chiffrement terminé, le wallpaper de bureau de la victime est remplacé par la demande de rançon. Les fraudeurs demandent que l’argent leur soit remis en bitcoins et si le paiement n’est pas fait dans les temps, le Trojan se détruit en laissant tous les fichiers chiffrés.
Lien avec CTB-Locker ?
Le fonctionnement et le design de ce nouveau ransomware sont proches de ceux de CTB-Locker, un autre ransomware découvert en 2014 qui compte de nombreuses victimes à travers le monde. Mais après analyse, les experts de Kaspersky Lab n’ont trouvé aucune similarité dans le code. En revanche, contrairement à CTB-Locker, le générateur de clés de chiffrement utilisé par Polyglot est faible. Les créateurs de Polyglot semblaient penser qu’en imitant CTB-Locker, ils pourraient piéger les utilisateurs en leur faisant croire qu’ils étaient victimes d’un grave malware, ne leur laissant d’autre option que de payer. Télécharger l’outil [.zip]
