AlphaCrypt se reconnaissait à l'utilisation d'extensions de fichiers débutants par un "e" comme : .ecc .ezz .exx
TeslaCrypt, par l'utilisation d'extensions de fichiers avec trois lettres identiques comme : .
puis dans les nouvelles variantesExtension .ccc .vvv .abc .ecc . ezz .aaa .exx .vvv
Extensions ..ttt .xxx .micro .mp3, .jpg
Faits marquants concernant la famille TeslaCrypt :
- Octobre 2015 : Ajout de la famille TeslaCrypt à MSRT.
- Décembre 2015 : une campagne TeslaCrypt virulente : TeslaCrypt Ransomware - fichiers en extensions .ccc et .vvv
- Janvier 2016 : extensions .xxx puis .ttt puis .micro avec le fichier help_recover_instructions comme instructions
- Début Février : passage en extension .micro
- 13 Février 2016 : passage en extension .mp3
- 15 Mars 2016 : passage en extension .jpg
La campagne de Décembre ayant débutée par deux semaines de pourriels malicieux avec notamment l'utilisation de Trojan.Downloader par des pièces jointes en JavaScript ce qui était relativement peu utilisé jusqu'à l'heure. Ensuite, TeslaCrypt a été distribué via le kit d'exploitation de vulnérabilités Angler EK.
La page des instructions de paiement du ransomware TeslaCrypt reprend celle de Cryptowall 3.0 :
Le message suivant fait que les utilisateurs peuvent lui donner le nom de Virus RSA-4096
Ce fichier d'instruction a été utilisé à partir d'Avril 2016 par une autre famille de ransomware : Ransomware RSA 4096 - extension .crypt.
TeslaCrypt Ransomware en vidéo :All of your files were protected by a strong encryption with RSA4096
Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt
Voici un exemple de ces emails malicieux "invoice" :
Microsoft peut aussi détecter les JavaScript malicieux (souvent le lendemain de la campagne) utilisés en pièce jointe d'emails pour télécharger TeslaCrypt en TrojanDropper:JS/Nemucod :
Si votre Windows a été infecté par TeslaCrypt
Suivre la procédure pour désinfecter votre Windows afin de vous assurer que TeslaCrypt n'est plus actif.
Nous vous recommandons de suivre les liens suivants :
- Supprimer TeslaCrypt (supprimer-trojan) et Ransomware documents extension .vvv
- Supprimer TeslaCrypt (supprimer-virus.com)
Récupération des fichiers TeslaCrypt
Voir plus bas dans l'article : viewtopic.php?f=98&t=53943#p420280
et tous les outils sur la page : DecryptTools : récupérer fichiers chiffrés par des ransomwares
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.
Actualités autour de TeslaCrypt ( ѠOOT ) :
(Avril, 21, 2016) : version 4.1 - nouvelles extensions visées par TeslaCrypt : TeslaCrypt v4.1 - Virus RSA 4096.
(Avril, 11,2016) : des campagnes de WebExploit visant la dernière vulnérabilité Flash pousse le Ransomware TeslaCrypt : > Ransomware : Vulnérabilité Flash (CVE-2016-1019) et Magnitude Exploit Kit
(Mars, 12,2016) : passage en extension .jpg
(Février, 12,1016) Nouvelle variante avec des extensions .mp3
(Janvier 16, 2016) Nouvelle variante avec des extensions .micro - version TeslaCrypt v4.0
(Janvier 12, 2016 ) Nouvelle variante avec des extensions .TTT et .XXX
( December 8, 2015 ) Blog of News Site “The Independent” Hacked, Leads to TeslaCrypt Ransomware
( December 16, 2015 ) Nemucod malware spreads ransomware TeslaCrypt around the world
( December 18, 2015 ) Angler EK drops ransomware with a new exploit
( January 6, 2015 ) The current state of ransomware TeslaCrypt
( January 7, 2016 ) New TeslaCrypt Variant In The Wild…Disguising as New CryptoWall
http://www.bleepingcomputer.com/news/se ... fications/
( March 3, 2016 ) Let's Ride With TeslaCrypt