Rançongiciel

Contexte

Le secret de ce challenge se trouve dans le fichier "ransom_challenge.docx.fun" qui a été chiffré par un rançongiciel. Saurez-vous retrouver le secret de ce challenge ? Voici une capture d'écran du message de demande de rançon :

🚨 Soyez prudent dans l'utilisation des outils que vous pourriez trouver pour réaliser ce challenge.

⚠ Certaines solutions de protection (antivirus) pourraient détecter ce fichier chiffré comme un fichier malveillant.

11KB

ransom_challenge.docx.fun

Ouvrir

Analyse du fichier

On nous donne un fichier "ransom_challenge.docx.fun" :

onosh@labrioche:$ file ransom_challenge.docx.fun
ransom_challenge.docx.fun: data
onosh@labrioche:$ du -h ransom_challenge.docx.fun
12K     ransom_challenge.docx.fun

Comme prévu, le fichier est bien chiffré :

00000000  1d e8 f6 51 60 d3 4e 1e  ae da 7b b3 de 1a 6e ab  |...Q`.N...{...n.|
00000010  58 34 61 e6 d8 6d 04 cc  22 9a 88 42 e3 aa 93 5c  |X4a..m.."..B...\|
00000020  2d 03 25 2a 99 b6 0b 94  2e ed 57 79 08 80 65 44  |-.%*......Wy..eD|
00000030  c2 35 a3 ed 4e 5b 62 eb  28 25 a8 02 f7 1e a7 07  |.5..N[b.(%......|
00000040  cf 87 0e 64 0f 3c 42 e2  e8 9f 57 20 99 1d 42 9b  |...d.<B...W ..B.|
00000050  80 a8 af 65 56 f7 42 eb  85 ea fe 76 3e 9c 22 6b  |...eV.B....v>."k|
00000060  f2 17 7b bc 79 3b d7 e2  66 fe d3 2e 46 f2 6b 17  |..{.y;..f...F.k.|
00000070  69 58 51 2c 4f b3 16 af  98 7e 20 d2 b8 f1 3e d4  |iXQ,O....~ ...>.|
00000080  f6 02 a4 71 8c ad 0d da  55 29 87 df b4 fe ad 30  |...q....U).....0|
00000090  a6 5d 2b c6 44 c3 73 f3  4d 48 0e 8d 24 d0 72 de  |.]+.D.s.MH..$.r.|
000000a0  bf a4 d6 b6 bb 31 59 0e  9e 97 f4 13 ba 75 2e 17  |.....1Y......u..|
000000b0  a4 a9 95 f6 b0 56 0c 1b  0d 92 13 b7 0f 71 d1 6b  |.....V.......q.k|
000000c0  6f 20 c4 16 e1 ab dd 85  d3 c6 50 a4 a1 f0 a1 8a  |o ........P.....|
000000d0  f0 28 96 bf d5 f2 cb 02  fb 05 15 e7 7b 5c 33 0d  |.(..........{\3.|
000000e0  42 68 cd 1b 93 18 81 b6  3e bf 65 c9 ce f4 19 56  |Bh......>.e....V|
000000f0  06 8f 2b 36 31 02 d1 b1  6c d2 5c 07 6a 40 b1 af  |..+61...l.\.j@..|

Recherche d'information sur le ransomware

Pour déchiffrer, il faut bien comprendre comment ça a été chiffré 🎉

Après quelques recherches, on découvre qu'il s'agit du ransomware Jigsaw :

Récupération du programme pour déchiffrer

Je cherche un déchiffreur en ligne pour récupérer mon fichier.

Je tombe sur le lien suivant :

https://www.bleepingcomputer.com/download/jigsaw-decrypterwww.bleepingcomputer.com

Le programme semble faire le travail attendu :

Déchiffrement du fichier

En toute sécurité dans un environnement Windows isolé d'internet, je lance le programme téléchargé et je sélectionne le dossier qui contient mon fichier chiffré :