Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


TeslaCrypt

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
23.05.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour - Abandon de TeslaCrypt et master key de déchiffrement

TeslaCrypt : ransomware de type cryptoware (attaque en chiffrement de tous les fichiers utilisateur puis demande de rançon). Ces attaques sont irréversibles. On paye la rançon ou on perd tous ses fichiers (sauf à avoir des sauvegardes).

TeslaCrypt

Dossier : Cryptoware - Ransomware

Dossier : Cryptoware - Ransomware

Ransomware (logiciels de demande de rançon)
Cryptowares (logiciels de demande de rançon)
Ingénierie sociale

Synonymes
Virus d'extortion
Cryptovirus d'extorsion
Rançongiciel
Virus Gendarmerie

Cryptowares
Crypto Locker (ou CryptoLocker)
CryptoLocker Copycat (imitations de CryptoLocker)
SynoLocker
PrisonLocker
PowerLocker
CTB Locker (Curve-Tor-Bitcoin Locker ou Critroni)
Locker
CryptorBit
TorrentLocker
CryptoWall
CryptoDefense
Gameover Zeus
KeyBTC
Koler : un ransomware Android
OphionLocker
TeslaCrypt
Alpha Crypt
Rector (déchiffrement possible sans rançon)
Xorast (déchiffrement possible sans rançon)
Hanar (déchiffrement possible sans rançon)
Rakhni (déchiffrement possible sans rançon)
Svpeng (1)

Origine des attaques
Exploitation d'une faille de sécurité
Flash Player pas à jour
Silverlight pas à jour
Acrobat Reader pas à jour
Java pas à jour
ActiveX pas désactivé
Drive-by download
Cheval de Troie
Faux codecs
Publicités trompeuses
Virus PEBCAK

Contre-mesures
Entretien périodique d'un PC
Mise à jour de tous les plugins
Bloquer tous les mécanismes publicitaires
Eviter les téléchargeurs et installeurs piégés
Malwarebytes Anti-Malware (MBAM) Premium
Cryptomonitor
Cryptoprevent Malware Prevention
Versions précédentes des fichiers

Assimilables aux Ransomwares
DDoS (Distributed Denial of Service)

TeslaCryptTeslaCryptTeslaCrypt

TeslaCrypt est un « Ransomware » (logiciel de demande de rançon) de type « Cryptoware ».

  • Tous les fichiers utilisateurs des types suivants (cette liste peut varier d'une version à une autre du « Cryptoware » TeslaCrypt) sont chiffrés (cryptés) en utilisant, parait-il, un algorithme de chiffrement RSA 2048, ce qui est totalement irréversible sans la clé de déchiffrement qu'il faut acheter auprès du cybercriminel en payant une rançon.

    .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt.
  • Cette attaque détruit également les copies de sécurité faites par Windows (les « Versions précédentes » dans les propriétés des fichiers) si tant est qu'elles soient activées, ce qui n'est jamais le cas par défaut et dont la procédure et la mise en œuvre sont totalement inconnues des utilisateurs
    Sauvegardes des fichiers par Windows - Versions précédentes des fichiers

Il n'y a que trois solutions.

  1. Repartir des sauvegardes (s'il y en a)
  2. Payer la rançon
  3. Tout perdre

18.05.2016 : Solution de déchiffrement de TeslaCrypt

Les cybercriminels ayant développé TeslaCrypt mettent un terme à leur ransomware TeslaCrypt (et passent à un autre ransomware) et, à la surprise générale, répondent à une question d'ESET en donnant la clé passe-partout de déchiffrement de tous les fichiers qui auraient put être cryptés avec TeslaCrypt dans le passé.

Si les victimes ont conservé leurs disques durs cryptés, après décontamination avec Malwarebytes Anti-Malware (MBAM), il est possible de récupérer tous les fichiers cryptés portant une extension .xxx, .ttt, .micro, .mp3 (ainsi que les fichiers cryptés sans extension).

TeslaCrypt - Master Key (clé passe-partout) de déchiffrement
TeslaCrypt - Master Key (clé passe-partout) de déchiffrement

ESET TeslaCrypt Decryptor

Tesla Decoder et l'article de Grindler (Lawrence Abrams - BleepingComputer)

TeslaCrypt (et son petit frère Alpha Crypt) sont des « Ransomware » (logiciel de demande de rançon) de type « Cryptoware » qui ciblent toutes les versions de Windows (Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10 au moment de l'écriture de cet article).

TeslaCrypt est apparu vers la fin de Février 2015 et Alpha Crypt vers la fin d'Avril 2015.

Lorsque vous êtes infecté par TeslaCrypt ou Alpha Crypt, ces « Cryptoware » analysent votre ordinateur, sur l'ensemble de vos lettres de lecteurs, à la recherche de vos fichiers de données. Windows lui-même et les applications sont ignorées de manière à ce que l'ordinateur puisse continuer à fonctionner afin d'aller sur Internet et payer la rançon. Les fichiers de données sont chiffrés (cryptés) en utilisant un chiffrement AES. Ils ne peuvent plus être ouverts sans être déchiffrés et il n'existe pas de solution de déchiffrement de l'AES (c'est un chiffrement dur et sûr).

Notons que le cybercriminel derrière TeslaCrypt et Alpha Crypt prétend utiliser une clé asymétrique RSA 2048. Dans la réalité, les fichiers chiffrés (en tout cas avec les premières versions de TeslaCrypt ou Alpha Crypt) le sont en AES symétrique. Mais au 2 décembre 2015, la version 8 de TeslaCrypt est apparue et on ne sait pas encore comment elle fonctionne. On ne sait pas, non plus, quelle est la dureté du chiffrement. Il n'est pas certain qu'il s'agisse d'un chiffrement utilisant une clé de 2048 bits car le cybercriminel a besoin que le chiffrement soit rapidement effectué afin de minimiser les chances d'être détecté avant la fin du chiffrement de tous les fichiers utilisateur.

Les fichiers chiffrés avec TeslaCrypt ou Alpha Crypt sont renommés avec un nouveau suffixe, toujours le même pour tous les fichiers chiffrés. Les suffixes utilisés pour les fichiers chiffrés sont variables : .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, etc. ... En décembre 2015, on a vu apparaître le suffixe .vvv. Il existe une version de TeslaCrypt qui ne modifie pas les noms des fichiers.

Une fois le chiffrement terminé, TeslaCrypt ou Alpha Crypt affiche une application qui contient des instructions sur la façon de récupérer vos fichiers. Ces instructions incluent un lien vers un site de service de décryptage, derrière un réseau TOR (rendant le cybercriminel indétectable), qui vous informera du montant de la rançon, de la quantité de fichiers cryptés, et vous donnera des instructions sur la façon de payer. Le coût de la rançon commence à environ 500 $ (USD) et est payable par l'intermédiaire de Bitcoins. L'adresse Bitcoins que vous devez utiliser pour le paiement est différente pour chaque victime.

TeslaCrypt ou Alpha Crypt vous donne également un lien vers lequel vous pouvez vérifier que la clé de déchiffrement dont dispose le cybercriminel fonctionne bien : vous pouvez demandez, une seule fois, le déchiffrement d'un seul fichier (dont la taille doit être inférieure à 500 KO).

TeslaCrypt, comme Alpha Crypt, et comme tous les « Cryptowares », donne une date limite. Généralement, les cybercriminels exigent un paiement sous 2 ou 3 jours après quoi ils détruisent purement et simplement la clé de déchiffrement. Plus rien ni personne ne peut alors déchiffrer les fichiers, pas même le cybercriminel.

Il a existé, avec les toutes premières versions de TeslaCrypt ou Alpha Crypt, une possibilité de décrypter les fichiers gratuitement (un bug s'étant glissé dans le « Cryptoware » (la clé de déchiffrement était planquée dans l'ordinateur de la victime). Ce n'est plus le cas avec les dernières versions de TeslaCrypt ou Alpha Crypt. Toutefois, on ne désespère pas de trouver un moyen de déchiffrer gratuitement les fichiers chiffrés.

Conservez les fichiers chiffrés sans rien toucher

Si les fichiers chiffrés ont une importance vitale et que vous envisagez de payer le rançon, ou si vous ne voulez pas payer la rançon mais espérez un jour pouvoir déchiffrer les fichiers cryptés, il faut sauvegarder les disques sur lesquels des fichiers sont compromis, sans rien modifier.

COUPEZ TOUT - NE TOUCHEZ A RIEN

COUPEZ votre ordinateur !

Ne faites rien dessus.

Sortez le disque dur et faites en un clone sur un banc de copie de manière à avoir la possibilité, si un jour un outil de déchiffrement gratuit existe, de récupérer vos fichiers.

 

Si vous avez une copie de sécurité de vos fichiers, analysez votre disque de sécurité sur une autre machine, ne contenant aucune donnée sensible, et elle-même totalement fiable et analysée :
Procédure gratuite de décontamination anti-malwares, anti-crapwares, anti-adwares
En particulier, analysez avec Malwarebytes Anti-Malware (MBAM) et avec Hitman Pro (HitmanPro).

En principe, ne jamais payer car cela encourage les cybercriminels mais, si vous êtes obligé de passer au paiement, NE DETRUISEZ AUCUN FICHIER, NE MODIFIEZ RIEN, NE TOUCHEZ PAS AUX SUFFIXES sur votre ordinateur, dans la mesure où la procédure de déchiffrement, après paiement de la rançon, risque d'avoir besoin de ses fichiers inscrits sur votre disque dur.

Si vous choisissez de payer, le déchiffrement de vos fichiers risque d'être très long, selon leur nombre et la machine (plusieurs heures...).

 

Comment je me fais infecter par TeslaCrypt ou Alpha Crypt

Ces attaques sont perpétrées, essentiellement, de deux manières :

  1. Pièce jointe d'un Email, or on sait que l'internaute " normal " clique d'abord pour ouvrir la pièce jointe et réfléchi (rarement et trop tard) après.
  2. Précédées d'un scan de failles de sécurité. Il existe des dizaines de scanners de failles de sécurité qui embarquent des centaines de signatures de failles à rechercher dans des dizaines d'applications dont les navigateurs Firefox, Microsoft Internet Explorer, Microsoft Edge, Opera, Google Chrome, Safari, K-Meleon, etc. ... ainsi que dans les technologies, dont, par exemple :

     

    Prévention :

      

     

    Un espoir (sans trop d'espoir)

    Les images écran qui permettent de reconnaître que vous êtes victime de TeslaCrypt.

    Cryptoware TeslaCrypt  Crédit image : bleepingcomputer
    Cryptoware TeslaCrypt Crédit image : bleepingcomputer

    Cryptoware TeslaCrypt  Crédit image : bleepingcomputer
    Cryptoware TeslaCrypt Crédit image : bleepingcomputer

    Cryptoware TeslaCrypt  Crédit image : bleepingcomputer
    Cryptoware TeslaCrypt Crédit image : bleepingcomputer

    Cryptoware TeslaCrypt  Crédit image : bleepingcomputer
    Cryptoware TeslaCrypt Crédit image : bleepingcomputer

    1. Il existe un outil de déchiffrement gratuit qui ne concerne que les fichiers chiffrés lorsqu'ils ont comme suffixe .ECC, EZZ et .EXX. Vous pouvez l'essayer avec vos propres fichiers chiffrés mais c'est probablement sans espoir
      Télécharger http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
      Suivre ce fil de discussion à propos de cet outil :
      http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

    2. Talos Security Intelligence and Research Group (Talos) (le groupe qui maintient les règles de Snort, ClamAV, SenderBase.org et SpamCop), a développé pour CISCO un outil gratuit à essayer :
      https://github.com/vrtadmin/TeslaDecrypt/tree/master/Windows
      ou
      http://www.talosintel.com/teslacrypt_tool/

      L'outil cherche un fichier qui serait nommé key.dat sur votre disque dur et, s'il en trouve un, il vous demande si vous voulez tenter de décrypter les fichiers d'un répertoire ou tous les fichiers.

      Si l'outil ne trouve pas un fichier key.dat faites vous-même une recherche et, si vous en trouvez un, copiez-le dans le répertoire où vous avez installé TeslaDecrypt et relancez-le.

      Lire http://blogs.cisco.com/security/talos/teslacrypt

      Note – Sauvegardez les fichiers chiffrés avant d'essayer cet outil car, si cela ne fonctionne pas, il faut revenir aux fichiers chiffrés pour tenter autre chose (dont le paiement de la rançon).

      Comme d'habitude, cette solution ayant été dévoilée (en avril 2015), le cybercriminel a certainement trouvé un correctif à son bug (il ne devrait plus y avoir de fichier key.dat.

    3. Il semble que TeslaCrypt cible préférentiellement les machines sur lesquelles tournent certains jeux vidéo, comme :

      • Assassin’s Creed
      • Bioshock 2
      • Call of Duty
      • DayZ
      • Diablo
      • Dragon Age
      • Dragon Age Origins
      • EA Sports
      • F.E.A.R. 2
      • Fallout
      • Jeux vidéo basés sur le moteur Unreal Engine 3
      • League of Legends
      • Les jeux créés avec le logiciel de création de jeux vidéo RPG Maker (utilisant, ou non, les scripts RGSS)
      • Les jeux de la société Bethesda Softworks
      • Minecraft
      • Skyrim animation
      • Stalker
      • StarCraft
      • Steam NCF Valve Pack
      • Unity Scene
      • Unreal 3
      • World of Tanks
      • World of Warcraft
      Probable récupération d'adresses email dans les forums de discussion de ces jeux et entrée en relation avec les victimes par email avec pièce jointe piégée, ou exploitation de failles de sécurité dans les giga octets de code et de lanceurs de ces jeux.

      Si la machine attaquée est juste une machine de jeux, sans fichiers de données personnelles, il est très probable que les fichiers perdus n'aient aucun intérêt et que l'on puisse totalement ignorer la demande de rançon, même si cela rend malade le joueur qui risque, dans certains cas, de perdre sa progression dans le jeu ou les bonus et objets accumulés.