TeslaCrypt RSA-4096 (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Messages : 117076
Inscription : 10 sept. 2005 13:57

TeslaCrypt RSA-4096 (Crypto-Ransomware)

par Malekal_morte »

TeslaCrypt est l'un des rançongiciel chiffreur de fichiers (Crypto-ransomware) les plus actifs en France avec Cryptowall et Locky. Apparu au début de l'année 2015, sous le nom AlphaCrypt, il a connu de fortes distributions lors de sa sortie ainsi que des pics en décembre 2015.

AlphaCrypt se reconnaissait à l'utilisation d'extensions de fichiers débutants par un "e" comme : .ecc .ezz .exx
TeslaCrypt, par l'utilisation d'extensions de fichiers avec trois lettres identiques comme : .
Extension .ccc .vvv .abc .ecc . ezz .aaa .exx .vvv
puis dans les nouvelles variantes
Extensions ..ttt .xxx .micro .mp3, .jpg

Faits marquants concernant la famille TeslaCrypt : Comme tous les ransomwares, deux modes de distributions : Image

La campagne de Décembre ayant débutée par deux semaines de pourriels malicieux avec notamment l'utilisation de Trojan.Downloader par des pièces jointes en JavaScript ce qui était relativement peu utilisé jusqu'à l'heure. Ensuite, TeslaCrypt a été distribué via le kit d'exploitation de vulnérabilités Angler EK.

La page des instructions de paiement du ransomware TeslaCrypt reprend celle de Cryptowall 3.0 :

Image

Image

Le message suivant fait que les utilisateurs peuvent lui donner le nom de Virus RSA-4096
Ce fichier d'instruction a été utilisé à partir d'Avril 2016 par une autre famille de ransomware : Ransomware RSA 4096 - extension .crypt.
All of your files were protected by a strong encryption with RSA4096
TeslaCrypt Ransomware en vidéo :



Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt

Image

Voici un exemple de ces emails malicieux "invoice" :
Image

Microsoft peut aussi détecter les JavaScript malicieux (souvent le lendemain de la campagne) utilisés en pièce jointe d'emails pour télécharger TeslaCrypt en TrojanDropper:JS/Nemucod :

Image



Si votre Windows a été infecté par TeslaCrypt

Suivre la procédure pour désinfecter votre Windows afin de vous assurer que TeslaCrypt n'est plus actif.
Nous vous recommandons de suivre les liens suivants : et Ransomware EXTENSION .VVV

Récupération des fichiers TeslaCrypt

Voir plus bas dans l'article : viewtopic.php?f=98&t=53943#p420280
et tous les outils sur la page : DecryptTools : récupérer fichiers chiffrés par des ransomwares

Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.

Actualités autour de TeslaCrypt ( ѠOOT ) :
(Avril, 21, 2016) : version 4.1 - nouvelles extensions visées par TeslaCrypt : TeslaCrypt v4.1 - Virus RSA 4096.
(Avril, 11,2016) : des campagnes de WebExploit visant la dernière vulnérabilité Flash pousse le Ransomware TeslaCrypt : > Ransomware : Vulnérabilité Flash (CVE-2016-1019) et Magnitude Exploit Kit
(Mars, 12,2016) : passage en extension .jpg
(Février, 12,1016) Nouvelle variante avec des extensions .mp3
(Janvier 16, 2016) Nouvelle variante avec des extensions .micro - version TeslaCrypt v4.0
(Janvier 12, 2016 ) Nouvelle variante avec des extensions .TTT et .XXX
( December 8, 2015 ) Blog of News Site “The Independent” Hacked, Leads to TeslaCrypt Ransomware
( December 16, 2015 ) Nemucod malware spreads ransomware TeslaCrypt around the world
( December 18, 2015 ) Angler EK drops ransomware with a new exploit
( January 6, 2015 ) The current state of ransomware TeslaCrypt
( January 7, 2016 ) New TeslaCrypt Variant In The Wild…Disguising as New CryptoWall
http://www.bleepingcomputer.com/news/se ... fications/
( March 3, 2016 ) Let's Ride With TeslaCrypt
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117076
Inscription : 10 sept. 2005 13:57

Re: TeslaCrypt RSA-4096 (Crypto-Ransomware)

par Malekal_morte »

Le développeur de TeslaCrypt a semble-t-il laissé tomber sa poule aux œufs d'or. Étonnant, d'autant qu'il semblerait aussi que Locky soit à vendre sur le DarkNet. Le développeur a, pour une raison assez mystérieuse, récemment publié sa clef privée et de ce fait il sera désormais possible de récupérer les fichiers produits par les variantes en ".micro", ".mp3" et ".jpg".

D'autres outils sont disponible sur la page : DecryptTools : récupérer fichiers chiffrés par des ransomwares

Ex avec TeslaDecoder :
> Télécharger TeslaDecoder

En vidéo :


Décompressez et lancez TeslaDecoder.
Image

Cliquez sur "SetKey" et réglez le tout, comme indiqué ci-dessous.

Image

Sur "Extension", sélectionnez "As Original"
Cliquez sur sur le bouton "SetKey".

Image

Le bouton "Decrypt folder" déchiffre les fichiers d'un dossier en particulier.
Le bouton "Decrypt all" déchiffre tous les fichiers situés sur vos disques durs.

Quoiqu'il arrive TeslaDecoder vous demande si vous désirez effectuer une sauvegarde des fichiers chiffrés.. sinon ils seront écrasés. Dans le cas d'un problème, vous pouvez donc perdre de manière définitive les fichiers chiffrés et ne plus être en mesure de les restaurer alors ATTENTION ! Il est conseillé de répondre "NON", mais il faut aussi s'assurer que l'espace disque soit suffisante pour accomplir ces tâches.

Image

Si tout va bien, vous obtenez le message:

Image

En renommant les fichiers, ils fonctionnent à nouveau.
Les fichiers chiffrés sont sauvés en .TeslaBackup

Image

ESET vient de sortir un outil mais je n'ai pas eu le temps de l'évaluer :
> http://download.eset.com/special/ESETTe ... ryptor.exe

Maintenant que l'auteur de TeslaCrypt a offert sa belle clef privée.
D'autres éditeurs d'antivirus vont certainement générer des outils.
TeslaCryptDecryptor.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »