Outil de déchiffrement du rançongiciel (ransomware) PyLocky versions 1 et 2

11⁄06⁄2019

English version below

Le ministère de l’Intérieur met à disposition du public sur la plateforme Cybermalveillance.gouv.fr, dont il est membre fondateur, un outil gratuit de déchiffrement du rançongiciel PyLocky.

PyLocky est un programme malveillant (appelé communément « virus ») de la catégorie des rançongiciels (ou ransomware en anglais). Il rend inaccessible les fichiers de la victime en les chiffrant et lui réclame une rançon en échange de la clef qui pourrait permettre d’en recouvrer l’accès.

PyLocky se propage généralement par message électronique (email) et se déclenche à l’ouverture d’une pièce jointe ou d’un lien piégés.

PyLocky est très actif en Europe et on compte de nombreuses victimes en France tant dans un cadre professionnel (entreprises, collectivités, associations, professions libérales) que particuliers.

Cet outil est le fruit de la collaboration des services du ministère de l’Intérieur, en particulier de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) de la Direction régionale de la police judiciaire de Paris qui a pu récolter dans le cadre de ses investigations des éléments techniques en association avec des chercheurs en sécurité bénévoles. Ces éléments ont permis au Service des technologies et des systèmes d’information de la sécurité intérieure ST(SI)², rattaché à la Gendarmerie nationale, de réaliser ce programme.

Cet utilitaire permet le déchiffrement des fichiers chiffrés avec les version 1 (fichiers chiffrés avec l’extension .lockedfile ou .lockymap) et version 2 (fichiers chiffrés avec l’extension .locky) de PyLocky. Il nécessite un ordinateur équipé du système d’exploitation Microsoft Windows 7 ou supérieur et l’environnement d’exécution Java JRE (Java Runtime Environnement) version 8.

Ce programme est fourni gracieusement « tel quel », sans support, ni garantie expresse ou implicite. Les auteurs ne pourront en aucun cas être tenus responsables d’éventuels dommages qui pourraient découler de l’utilisation de cet outil. Des déclinaisons de PyLocky peuvent avoir été réalisées et pourraient rendre cet utilitaire inopérant.

À noter que le déchiffrement des fichiers ne décontamine pas pour autant la machine infectée par le rançongiciel. Pour comprendre les attaques par rançongiciels, les mesures à prendre pour s’en prémunir et les actions à conduire pour y faire face lorsque l’on en est victime, consultez la fiche réflexe du dispositif national d’assistance aux victimes Cybermalveillance.gouv.fr.

Pour consulter ou télécharger la documentation d’utilisation du programme de déchiffrement de PyLocky, cliquez ici.

Pour télécharger le programme de déchiffrement PyLocky versions 1 et 2 et sa documentation, cliquez ici.

D’autres outils de déchiffrement de rançongiciels (ransomware) sont disponibles sur le site Nomoreransom.org. Cette plateforme est une initiative issue de la coopération des polices européennes, d’Europol et de sociétés privées spécialisées en cybersécurité.

En savoir plus sur la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) en cliquant sur son logo ci-dessous :


***

English version :

Decryption tool for the ransomware PyLocky versions 1 and 2

The french Ministry of Interior makes today available to the public a free decryption tool of the ransomware PyLocky, allowing the victims to recover their files. This tool is made available on the national plateform Cybermalveillance.gouv.fr, of which the Ministry of Interior is a founding member.

PyLocky is a malicious software (commonly called « virus ») within the ransomware category. Its objective is to make the victim’s files inaccessible by encrypting them before asking the victim to pay a ransom in exchange for the key allowing to recover them.

PyLocky usually spreads by email and is activated when a trapped attachment or link is opened.

PyLocky is very active in Europe and there are already many victims in France, both within the professional environment (SMEs, large businesses, associations, etc.) as well as at home.

This tool is a result of a collaboration among the agencies of the french Ministry of Interior, including first the Brigade d’enquêtes sur les fraudes aux technologies de l’information  (BEFTI) of the Direction régionale de la police judiciaire de Paris, on the basis of technical elements gathered during its investigations and the collaboration with volunteer researchers. Those elements allowed the Service des technologies et des systèmes d’information de la sécurité intérieure ST(SI)², part of the Gendarmerie nationale, to create that software.

This software allows for the decryption of the encrypted files with versions 1 (encrypted files with the extension .lockedfile or .lockymap) and version 2 (encrypted files with the extension .locky) of PyLocky. It requires a computer running the operating system Microsoft Windows 7 or higher and the execution environment Java JRE (Java Runtime Environnement) version 8.

This program is made available for free « as it is », without any technical support nor explicit or implicit warranty. Its authors can’t be held in any way responsible of any damage that might be caused by the use of the tool. Others versions of PyLocky might have been created, regarding which this program may be ineffective.

Please note that the decryption of the files doesn’t clean the infected computer of the ransomware. In order to understand ransomware attacks, measures to be taken to prevent them and necessary actions when victim of such malware, please refer to the guidelines (FR) provided by the French national platform of assistance to cyber victims Cybermalveillance.gouv.fr.

To view or download the user documentation of the PyLocky decryption program, please click here.

To download the PyLocky versions 1 and 2 decryption program and its documentation, please click here.

Other ransomware decrytion tools are available on the website Nomoreransom.org. This plateform is a cooperation initiative between european law enforcement agencies, Europol and cybersecurity specialised private corporations.