TeslaCrypt RSA-4096 (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84191
Inscription : 10 sept. 2005 13:57
Contact :

TeslaCrypt RSA-4096 (Crypto-Ransomware)

Message par Malekal_morte » 01 janv. 2016 12:49

TeslaCrypt est l'un des rançongiciel chiffreur de fichiers (Crypto-ransomware) les plus actifs en France avec Cryptowall et Locky. Apparu au début de l'année 2015, sous le nom AlphaCrypt, il a connu de fortes distributions lors de sa sortie ainsi que des pics en décembre 2015.

AlphaCrypt se reconnaissait à l'utilisation d'extensions de fichiers débutants par un "e" comme : .ecc .ezz .exx
TeslaCrypt, par l'utilisation d'extensions de fichiers avec trois lettres identiques comme : .
Extension .ccc .vvv .abc .ecc . ezz .aaa .exx .vvv
puis dans les nouvelles variantes
Extensions ..ttt .xxx .micro .mp3, .jpg

Faits marquants concernant la famille TeslaCrypt : Comme tous les ransomwares, deux modes de distributions : Image

La campagne de Décembre ayant débutée par deux semaines de pourriels malicieux avec notamment l'utilisation de Trojan.Downloader par des pièces jointes en JavaScript ce qui était relativement peu utilisé jusqu'à l'heure. Ensuite, TeslaCrypt a été distribué via le kit d'exploitation de vulnérabilités Angler EK.

La page des instructions de paiement du ransomware TeslaCrypt reprend celle de Cryptowall 3.0 :

Image

Image

Le message suivant fait que les utilisateurs peuvent lui donner le nom de Virus RSA-4096
Ce fichier d'instruction a été utilisé à partir d'Avril 2016 par une autre famille de ransomware : Ransomware RSA 4096 - extension .crypt.
All of your files were protected by a strong encryption with RSA4096
TeslaCrypt Ransomware en vidéo :



Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt

Image

Voici un exemple de ces emails malicieux "invoice" :
Image

Microsoft peut aussi détecter les JavaScript malicieux (souvent le lendemain de la campagne) utilisés en pièce jointe d'emails pour télécharger TeslaCrypt en TrojanDropper:JS/Nemucod :

Image



Si votre Windows a été infecté par TeslaCrypt

Suivre la procédure pour désinfecter votre Windows afin de vous assurer que TeslaCrypt n'est plus actif.
Nous vous recommandons de suivre les liens suivants : et Ransomware EXTENSION .VVV


Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.

Actualités autour de TeslaCrypt ( ѠOOT ) :
(Avril, 21, 2016) : version 4.1 - nouvelles extensions visées par TeslaCrypt : TeslaCrypt v4.1 - Virus RSA 4096.
(Avril, 11,2016) : des campagnes de WebExploit visant la dernière vulnérabilité Flash pousse le Ransomware TeslaCrypt : > Ransomware : Vulnérabilité Flash (CVE-2016-1019) et Magnitude Exploit Kit
(Mars, 12,2016) : passage en extension .jpg
(Février, 12,1016) Nouvelle variante avec des extensions .mp3
(Janvier 16, 2016) Nouvelle variante avec des extensions .micro - version TeslaCrypt v4.0
(Janvier 12, 2016 ) Nouvelle variante avec des extensions .TTT et .XXX
( December 8, 2015 ) Blog of News Site “The Independent” Hacked, Leads to TeslaCrypt Ransomware
( December 16, 2015 ) Nemucod malware spreads ransomware TeslaCrypt around the world
( December 18, 2015 ) Angler EK drops ransomware with a new exploit
( January 6, 2015 ) The current state of ransomware TeslaCrypt
( January 7, 2016 ) New TeslaCrypt Variant In The Wild…Disguising as New CryptoWall
http://www.bleepingcomputer.com/news/se ... fications/
( March 3, 2016 ) Let's Ride With TeslaCrypt
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84191
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt RSA-4096 (Crypto-Ransomware)

Message par Malekal_morte » 18 mai 2016 22:27

Le développeur de TeslaCrypt a semble-t-il laissé tomber sa poule aux œufs d'or. Étonnant, d'autant qu'il semblerait aussi que Locky soit à vendre sur le DarkNet. Le développeur a, pour une raison assez mystérieuse, récemment publié sa clef privée et de ce fait il sera désormais possible de récupérer les fichiers produits par les variantes en ".micro", ".mp3" et ".jpg".

> Télécharger TeslaDecoder

En vidéo :


Décompressez et lancez TeslaDecoder.
Image

Cliquez sur "SetKey" et réglez le tout, comme indiqué ci-dessous.

Image

Sur "Extension", sélectionnez "As Original"
Cliquez sur sur le bouton "SetKey".

Image

Le bouton "Decrypt folder" déchiffre les fichiers d'un dossier en particulier.
Le bouton "Decrypt all" déchiffre tous les fichiers situés sur vos disques durs.

Quoiqu'il arrive TeslaDecoder vous demande si vous désirez effectuer une sauvegarde des fichiers chiffrés.. sinon ils seront écrasés. Dans le cas d'un problème, vous pouvez donc perdre de manière définitive les fichiers chiffrés et ne plus être en mesure de les restaurer alors ATTENTION ! Il est conseillé de répondre "NON", mais il faut aussi s'assurer que l'espace disque soit suffisante pour accomplir ces tâches.

Image

Si tout va bien, vous obtenez le message:

Image

En renommant les fichiers, ils fonctionnent à nouveau.
Les fichiers chiffrés sont sauvés en .TeslaBackup

Image

ESET vient de sortir un outil mais je n'ai pas eu le temps de l'évaluer :
> http://download.eset.com/special/ESETTe ... ryptor.exe

Maintenant que l'auteur de TeslaCrypt a offert sa belle clef privée.
D'autres éditeurs d'antivirus vont certainement générer des outils.
TeslaCryptDecryptor.png
ESET - TeslaCrypt decryptor v 1.1.0.0
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité