CryptoHost : le ransomware qui verrouille vos données dans une archive RAR

Publié le

Pas une semaine ne passe sans qu’un nouveau ransomware ne fasse son apparition. Un fléau difficile à endiguer puisque ces rançongiciels et leurs clés de chiffrement sont de plus en plus aboutis. Pour autant, les chercheurs et développeurs ne chôment pas et parviennent à élaborer des solutions ciblées qui permettent aux victimes de ce genre de logiciels malveillants de récupérer leurs données sans avoir à payer. C’est le cas pour CryptoHost, qui déplaçait vos fichiers dans des archives RAR verrouillées. 

CryptoHost : un ransomware pas comme les autres

Il se fait passer généralement pour le logiciel P2P uTorrent et se télécharge souvent sous le nom de de uTorrent.exe pour gruger les utilisateurs. Il suffit de cliquer sur l’exécutable pour se faire avoir. Contrairement à la plupart des ransomwares, CryptoHost connu également sous le nom de Manamecrypt ne chiffre pas directement vos fichiers. Il opère tout simplement en déplaçant vos fichiers dans une archive au format RAR protégée par un mot de passe.

Le logiciel malveillant s’installe le plus souvent CryptoHost est capable de cibler jusqu’à 34 types de fichiers (doc, .docx, .pdf, .txt, .ppt, .pps, .pptx, .wps, .jpeg, .mp4, etc.) autant dire qu’il a le choix parmi vos images, vos vidéos et vos documents. Il va déplacer vos fichiers dans une archive verrouillée située dans le dossier C:\Users\Nom d’utilisateur\AppData\Roaming. Il affichera par la suite trois messages différents sur votre bureau en vous précisant de régler la somme de 0.33 Bitcoins (environ 120 euros) pour récupérer vos données.

Récupérer les fichiers verrouillés par CryptoHost

Une équipe de recherche composée de Michael Gillepsie, MalwareForMe, MalwareHunterTeam et enfin Bleeping Computer a découvert le moyen de récupérer ses données en déverrouillant l’archive sans payer cette fameuse rançon.

L’équipe révèle que le ransomware combine le numéro d’identification du processeur, le numéro de série de carte mère ainsi que celui du disque « C:\ » pour générer un algorithme de cryptographie. C’est cet algorithme qui est utilisé pour nommer l’archive RAR verrouillée. Par conséquent personne ne possède le même mot de passe. Mais pas de panique, votre mot de passe correspond tout simplement au nom de l’archive combiné à votre nom d’utilisateur. Un petit exemple et ce sera plus clair :

Si votre archive se nomme “9876543210FEDCBA01234” et que votre nom d’utilisateur c’est « Michel », votre mot de passe est le suivant : 9876543210FEDCBA01234Michel.

Avant de rentrer votre mot de passe, pensez à stopper le processus de CryptoHost en passant par votre gestionnaire de tâche (accessible en faisant CTRL + ALT + Suppr). Dans la liste des processus vous trouverez « CryptoHost.exe », il vous suffira de faire un clic-droit sur le processus et de choisir l’option « arrêter le processus ».

Image provenant de Bleeping Computer

Il faudra bien évidemment procéder à la suppression de CryptoHost par la suite en supprimant le fichier suivant : 

C:\Users\Nom d’utilisateur\AppData\Roaming folder\cryptohost.exe.

Vous pouvez également supprimer  la clé de registre correspondante en passant par votre éditeur de registre :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software%AppData%\cryptohost.exe 

La plupart des antivirus sont désormais capables de supprimer le fichier avant sont installation avec leurs dernières signatures. Ils ne le pouvaient pas auparavant car une fois qu’il avait infecté la machine, le ransomware bloquait automatiquement le processus d’exécution de l’antivirus.  

Pour prévenir ce genre de mésaventure, soyez très prudent lorsque vous téléchargez des fichiers sur le web, renseignez-vous sur les sources et munissez-vous d’outils de protection et de désinfection.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet