La société néerlandaise de cybersécurité Tesorion a publié un décrypteur gratuit pour le ransomware Lorenz, permettant aux victimes de récupérer certains de leurs fichiers gratuitement sans payer de rançon.

Lorenz est un ransomware à commande humaine qui a commencé à fonctionner en avril 2021 et a depuis répertorié douze victimes dont ils ont volé et divulgué les données sur leur site de fuite de données de ransomware.

​

Lorenz n’est pas particulièrement active et a commencé à ralentir ces derniers mois par rapport à d’autres opérations.

Décrypteur de ransomware Lorenz publié

L’outil de décryptage du ransomware Lorenz peut être téléchargé à partir de NoMoreRansom et permettra aux victimes de récupérer certains de leurs fichiers cryptés.

Contrairement aux autres décrypteurs de ransomware qui incluent la clé de décryptage réelle, le décrypteur de Tesorion fonctionne différemment et ne peut décrypter que certains types de fichiers.

Le chercheur de Tesorion, Gijs Rijnders, a déclaré à BleepingComputer que seuls les fichiers avec des structures de fichiers bien connues pouvaient être décryptés, tels que les documents Office, les fichiers PDF, certains types d’images et les fichiers vidéo.

Bien que le décrypteur ne décrypte pas tous les types de fichiers, il permettra toujours à ceux qui ne paient pas la rançon de récupérer des fichiers importants.

Comme vous pouvez le voir ci-dessous, le décrypteur peut décrypter les types de fichiers bien connus, tels que les fichiers XLS et XLSX, sans problème. Cependant, il ne déchiffrera pas les types de fichiers inconnus ou ceux avec des structures de fichiers inhabituelles.

En plus de fournir un décrypteur, Tesorion a fourni un aperçu de la technique de cryptage utilisée par le ransomware Lorenz.

Dans un article de blog, Rijnders explique qu’un bogue dans la façon dont ils implémentent leur chiffrement peut entraîner la perte de données, ce qui empêcherait un fichier d’être déchiffré même si une rançon était payée.

« Le résultat de ce bug est que pour chaque fichier dont la taille est un multiple de 48 octets, les 48 derniers octets sont perdus. Même si vous avez réussi à obtenir un décrypteur du…