Les chercheurs en cybersécurité d’Avast ont publié un outil de déchiffrement gratuit pour le ransomware FunkSec, un logiciel malveillant apparu fin 2024, désormais inactif. Faisons le point.
FunkSec : une menace éphémère
Apparu sur la scène cyber pour la première fois à la fin de l’année 2024, FunkSec s’est montré très actif et ce groupe de cybercriminels aurait fait 172 victimes en quelques mois, d’après les données de Ransomware.live. Les pays les plus touchés sont les États-Unis, l’Inde et le Brésil, ainsi que les secteurs de la technologie, du gouvernement et de l’éducation. D’après ce même site, il y aurait 4 victimes en France.
FunkSec est un ransomware écrit en Rust, un langage de plus en plus populaire d’une manière générale, y compris chez les cybercriminels. C’est notamment le cas de BlackCat, un célèbre groupe de ransomware. D’ailleurs, les chercheurs de Check Point avaient publié un rapport pour expliquer que ce ransomware avait probablement été développé à l’aide de l’intelligence artificielle.
Après une forte activité pendant les premiers mois suivant sa découverte, le groupe FunkSec n’a pas revendiqué de nouvelles victimes depuis le 18 mars 2025. Aujourd’hui, il est considéré comme inactif. Suite au travail effectué par les chercheurs, un outil de déchiffrement est désormais disponible.
Déchiffrer les données du ransomware FunkSec
Si Avast n’a pas révélé les détails techniques ayant permis la création de l’outil de déchiffrement, ce dernier est désormais accessible à tous. Reste à savoir s’il sera encore utile à certaines victimes, étant donné que les attaques remontent à plusieurs mois. Mais, c’est toujours bon à prendre.
Dans les faits, FunkSec utilisait la bibliothèque orion-rs pour son processus de chiffrement, s’appuyant sur les algorithmes ChaCha20 et Poly1305 pour verrouiller les fichiers de ses victimes. “Cette méthode basée sur le hachage garantit l’intégrité des paramètres de chiffrement : la clé de chiffrement, le nonce, la longueur des blocs et les données chiffrées elles-mêmes.”, précise Ladislav Zezula de chez Avast (Gen).
Quand il passait à l’action, le ransomware FunkSec chiffrait les fichiers par blocs de 128 octets, en y ajoutant 48 octets de métadonnées, ce qui avait pour conséquence de faire gonfler la taille des fichiers chiffrés d’environ 37 %.
Pour déchiffrer les données chiffrées par ce ransomware, voici les étapes à suivre :
1 – Il faut d’abord s’assurer que les fichiers sont bien chiffrés par FunkSec : extension .funksec.
2 – Télécharger l’outil de déchiffrement depuis le portail du projet No More Ransom (voir cette page).
3 – Par précaution, effectuer une sauvegarde des fichiers chiffrés avant toute tentative de déchiffrement, afin de se prémunir contre une éventuelle corruption de données.
4 – Lancer le déchiffrement des données.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.