Un déchiffreur gratuit pour FunkSec : la fin d’un ransomware prometteur… et raté.
Contexte : qui était FunkSec ❓
Le groupe de ransomware FunkSec a fait une apparition remarquée fin 2024. En seulement quelques semaines, il revendiquait plus de 85 victimes, principalement aux États-Unis, en Inde et au Brésil.
Son ransomware, écrit en Rust, utilisait la librairie orion-rs avec l’algorithme Chacha20-Poly1305. Les fichiers infectés portaient l’extension .funksec et un fichier de rançon au format README‑[aléatoire].md était déposé dans les dossiers ciblés.
L’évolution de l’attaque
FunkSec a d’abord mené des attaques basées uniquement sur l’exfiltration de données. Puis, dès décembre 2024, il a ajouté une phase de chiffrement, entrant pleinement dans la catégorie des ransomwares à double extorsion.
Mais le groupe n’a pas tenu la distance. Dès le 15 mars 2025, plus aucune nouvelle attaque n’était signalée. Les experts s’accordent à dire que FunkSec est désormais inactif.
L’IA pour créer un ransomware ? Oui, vraiment !
FunkSec s’est distingué par son usage partiel de l’intelligence artificielle. Environ 20 % de ses outils et modèles de phishing auraient été générés automatiquement.
Mais derrière cette façade technologique, les experts ont détecté un manque de rigueur :
- Beaucoup de données exfiltrées venaient d’autres fuites déjà publiques,
- Certains outils ne fonctionnaient pas,
- Des erreurs techniques ont facilité l’analyse du malware.
En clair, FunkSec misait sur l’IA, mais son infrastructure manquait de professionnalisme.
Le déchiffreur : victoire gratuite pour les victimes 🎉
Bonne nouvelle pour les victimes : les chercheurs de Gen™ (Avast) ont mis au point un outil gratuit de déchiffrement, publié sur la plateforme No More Ransom, en collaboration avec les forces de l’ordre.
Ce déchiffreur permet de récupérer l’intégralité des fichiers chiffrés par FunkSec sans payer de rançon.
Comment fonctionne la décryption ?
Voici les étapes à suivre pour utiliser l’outil :
- Télécharger la version adaptée à votre système (32 ou 64 bits).
- Lancer l’application en mode administrateur.
- Sélectionner les dossiers ou disques à analyser.
- Activer l’option de sauvegarde automatique des fichiers chiffrés.
- Lancer le processus et attendre la fin de la récupération.
⚠️ Important : effectuez toujours une sauvegarde manuelle avant toute tentative de déchiffrement.
Points d’action clés ✅
| Étape | Action recommandée |
|---|---|
| 1 | Vérifiez la présence de fichiers .funksec ou de fichiers README-*.md |
| 2 | Téléchargez le déchiffreur sur No More Ransom |
| 3 | Suivez les instructions officielles de l’outil |
| 4 | Mettez à jour votre système et votre solution antivirus |
| 5 | Activez une protection comportementale contre les ransomwares |
Leçons à retenir pour renforcer votre cybersécurité
1. L’IA ne remplace pas l’expertise
Même avec de l’intelligence artificielle, un ransomware mal conçu reste vulnérable. FunkSec en est la preuve.
2. Rust devient populaire dans le monde des malwares
Ce langage, apprécié pour ses performances, est de plus en plus utilisé dans les cyberattaques. Il devient urgent d’adapter les outils de détection.
3. Rançons plus modestes, mais plus fréquentes
FunkSec réclamait souvent moins de 10 000 $, misant sur le volume. Un modèle « low cost » qui reste dangereux, notamment pour les PME mal préparées.
🧠 Pour aller plus loin – Questions de réflexion
- Avez-vous des sauvegardes régulières et stockées hors ligne ?
- Disposez-vous d’un plan de réponse aux incidents ?
- Votre équipe est-elle formée à reconnaître les phishing emails ?
- Vos solutions de cybersécurité analysent-elles les comportements suspects ?
En résumé
FunkSec avait l’ambition d’un grand groupe cybercriminel, mais ses failles ont rapidement mené à sa chute. Grâce aux équipes de Gen™ (Avast), les victimes peuvent aujourd’hui récupérer leurs fichiers sans céder au chantage.
Mais cette histoire rappelle une évidence : la meilleure défense, c’est la prévention.
🔒 Vous voulez protéger votre activité contre les ransomwares ?
Découvrez nos solutions :
