Ransomware Khonsari

Le ransomware Khonsari a été le premier groupe à exploiter les vulnérabilités connues d’Apache Log4j (CVE-2021-44228 et CVE-2021-45046), le groupe a concentré ses attaques sur les serveurs Windows dont Log4j n’a pas été mis à jour.

Le premier enregistrement du groupe a eu lieu en décembre 2021, ce qui indique que le groupe a été créé pour exploiter directement les vulnérabilités d’Apache Log4j, mais ce n’est peut-être qu’un début, le groupe pourrait élargir son champ d’action.

Contrairement aux groupes qui utilisent des tactiques RaaS, Khonsari est un groupe fermé et exclusif, ce qui montre que leurs attaques visent des entreprises spécifiques.

Le malware est relativement simple et petit, il ne pèse que 12 KB, ce qui le rend pratiquement indétectable pour les antivirus, le groupe n’agit que par chiffrement et il n’y a pas de vol de fichiers.

Le groupe utilise un chiffrement AES 128 et, fait intéressant, la clé de déchiffrement est également chiffrée, mais le chiffrement RSA est utilisé.

La clé reste dans la note de rançon qui s’ouvre automatiquement après le cryptage des fichiers, l’extension .khonsari est ajoutée à tous les fichiers cryptés.

Si la note est supprimée, les fichiers ne peuvent pas être décryptés car la clé a été supprimée en même temps que la note.

Si la clé de décryptage est supprimée, seule une entreprise spécialisée dans la récupération de fichiers cryptés par un ransomware peut récupérer les fichiers.

La meilleure défense contre le ransomware Khonsari est de maintenir Log4j à jour.

Récupérer les Fichiers Cryptés par Khonsari Ransomware

La récupération des fichiers cryptés par Khonsari ransomware est possible même sans la clé de décryptage, Digital Recovery en est capable.

Avec plus de deux décennies sur le marché de la récupération des données, nous avons développé l’expertise nécessaire pour agir dans les scénarios de perte de données les plus drastiques, qui se résument aujourd’hui à la perte de données par une attaque de ransomware.

Nous pouvons récupérer des fichiers cryptés sur des disques durs, des disques SSD, des bases de données, des stockages (NAS, DAS, SAN), des systèmes RAID, des serveurs, des machines virtuelles, entre autres.

Tous nos processus sont exclusifs et personnalisés pour chaque client. Tout au long du processus, le client sera en contact avec l’un de nos spécialistes.

Nos processus ont été développés sur la base de la GDPR (Règlement général sur la protection des données) et nous fournissons à tous nos clients l’accord de confidentialité (NDA).

Contactez-nous et commencez le processus de récupération dès maintenant.

Nous sommes
toujours en ligne

Remplissez le formulaire, ou sélectionnez votre forme de contact préférée. Nous vous contacterons pour commencer à récupérer vos fichiers.

Les dernières insights de nos experts

Grâce à des technologies uniques, Digital Recovery peut récupérer des données cryptées sur n’importe quel dispositif de stockage, offrant des solutions à distance partout dans le monde.

Découvrez les vulnérabilités invisibles de votre informatique – avec le 4D Pentest de Digital Recovery