Clés de déchiffrement disponibles pour les trois rançongiciels Egregor, Maze et Sekhmet

Clés de déchiffrement disponibles pour les trois rançongiciels Egregor, Maze et Sekhmet

Le 9 février 2022, BleepingComputer a publié un article à propos de plusieurs clés de déchiffrement disponibles pour les rançongiciels EgregorSekhmet et Maze. Ces clés ont été partagées sur le forum de BleepingComputer par un utilisateur surnommé Topleak qui se prétend être le développeur des trois rançongiciels. Ces clés ont été testées puis validées par l’entreprise Emisoft.

 

Le rançongiciel Maze

Il est considéré comme étant un variant du rançongiciel ChaCha. Découvert au mois de mai 2019, Maze devient rapidement très actif en s’attaquant en particulier à de nombreuses entreprises internationales. En fin de l’année 2020, les opérateurs du rançongiciel ont annoncé l’arrêt de son exploitation.

 

Le rançongiciel Egregor

Il est parfois considéré comme le successeur du rançongiciel Maze. Actif depuis septembre 2020, le rançongiciel Egregor est connu pour être déployé par des chevaux de Troie tels que QakbotUrsnif et IcedID. Le FBI et l’ANSSI s’accordent pour définir Egregor comme un Ransomware-as-a Service (RaaS), c’est-à-dire qu’Il est en vente dans le dark web avec un service de support pour les cybercriminels.

 

Le rançongiciel Sekhmet

Il devient actif en février 2020 pour une période de cinq mois avant de disparaitre en juillet. Il est considéré comme un RaaS et partage des similitudes techniques avec le rançongiciel Egregor.

Clés de déchiffrement

Dans la partie référence se trouve le lien vers le site Emisoft qui propose le téléchargement d’un outil de déchiffrement. Pour récupérer les données, la victime d’un de ces trois rançongiciels doit utiliser la note de rançon créée lors de l’attaque : celle-ci contient les informations chiffrées qui sont nécessaires pour entamer le processus de déchiffrement.