Particulièrement malveillant, le ransomware CryptXXX cible les appareils Windows dans le but de verrouiller des fichiers, copier des données et voler des Bitcoins. 

Le ransomware CryptXXX se propage via des spams qui contiennent des pièces jointes infectées ou des liens vers des sites web malicieux. Les pages web hébergeant un Angler Exploit Kit (EK) distribuent CryptXXX. Lors de l’exécution, le ransomware chiffre les fichiers présents sur le système infecté et ajoute une extension .crypt à leur nom. Les victimes sont informées que leurs fichiers ont été chiffrés en utilisant RSA-4096 — un algorithme de chiffrement fort — et une rançon en Bitcoins leur est demandée s’ils souhaitent récupérer leurs données.

Avec plus de 50 familles de ransomwares actuellement en circulation, il n’existe pas d’algorithme universel qui permettrait de bloquer ou contrôler leurs attaques. Cependant, dans le cas de CryptXXX, les criminels se targuaient d’utiliser RSA-4096, ce qui a permis à Kaspersky Lab de développer un outil de déchiffrement qui est disponible gratuitement ici : https://support.kaspersky.com/viruses/disinfection/8547#block3.

Grâce à cet outil, les victimes de CryptXXX peuvent maintenant recupérer leurs fichiers sans avoir à payer de rançon. Pour déchiffrer les fichiers infectés, l’outil de Kaspersky Lab aura besoin d’une version originale, c’est-à-dire non chiffrée, d’au moins un fichier touché par CryptXXX.