Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
|
|
|
||
---|---|---|
TeslaCrypt est un « Ransomware » (logiciel de demande de rançon) de type « Cryptoware ».
Il n'y a que trois solutions.
Les cybercriminels ayant développé TeslaCrypt mettent un terme à leur ransomware TeslaCrypt (et passent à un autre ransomware) et, à la surprise générale, répondent à une question d'ESET en donnant la clé passe-partout de déchiffrement de tous les fichiers qui auraient put être cryptés avec TeslaCrypt dans le passé.
Si les victimes ont conservé leurs disques durs cryptés, après décontamination avec Malwarebytes Anti-Malware (MBAM), il est possible de récupérer tous les fichiers cryptés portant une extension .xxx, .ttt, .micro, .mp3 (ainsi que les fichiers cryptés sans extension).
Tesla Decoder et l'article de Grindler (Lawrence Abrams - BleepingComputer)
TeslaCrypt (et son petit frère Alpha Crypt) sont des « Ransomware » (logiciel de demande de rançon) de type « Cryptoware » qui ciblent toutes les versions de Windows (Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10 au moment de l'écriture de cet article).
TeslaCrypt est apparu vers la fin de Février 2015 et Alpha Crypt vers la fin d'Avril 2015.
Lorsque vous êtes infecté par TeslaCrypt ou Alpha Crypt, ces « Cryptoware » analysent votre ordinateur, sur l'ensemble de vos lettres de lecteurs, à la recherche de vos fichiers de données. Windows lui-même et les applications sont ignorées de manière à ce que l'ordinateur puisse continuer à fonctionner afin d'aller sur Internet et payer la rançon. Les fichiers de données sont chiffrés (cryptés) en utilisant un chiffrement AES. Ils ne peuvent plus être ouverts sans être déchiffrés et il n'existe pas de solution de déchiffrement de l'AES (c'est un chiffrement dur et sûr).
Notons que le cybercriminel derrière TeslaCrypt et Alpha Crypt prétend utiliser une clé asymétrique RSA 2048. Dans la réalité, les fichiers chiffrés (en tout cas avec les premières versions de TeslaCrypt ou Alpha Crypt) le sont en AES symétrique. Mais au 2 décembre 2015, la version 8 de TeslaCrypt est apparue et on ne sait pas encore comment elle fonctionne. On ne sait pas, non plus, quelle est la dureté du chiffrement. Il n'est pas certain qu'il s'agisse d'un chiffrement utilisant une clé de 2048 bits car le cybercriminel a besoin que le chiffrement soit rapidement effectué afin de minimiser les chances d'être détecté avant la fin du chiffrement de tous les fichiers utilisateur.
Les fichiers chiffrés avec TeslaCrypt ou Alpha Crypt sont renommés avec un nouveau suffixe, toujours le même pour tous les fichiers chiffrés. Les suffixes utilisés pour les fichiers chiffrés sont variables : .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, etc. ... En décembre 2015, on a vu apparaître le suffixe .vvv. Il existe une version de TeslaCrypt qui ne modifie pas les noms des fichiers.
Une fois le chiffrement terminé, TeslaCrypt ou Alpha Crypt affiche une application qui contient des instructions sur la façon de récupérer vos fichiers. Ces instructions incluent un lien vers un site de service de décryptage, derrière un réseau TOR (rendant le cybercriminel indétectable), qui vous informera du montant de la rançon, de la quantité de fichiers cryptés, et vous donnera des instructions sur la façon de payer. Le coût de la rançon commence à environ 500 $ (USD) et est payable par l'intermédiaire de Bitcoins. L'adresse Bitcoins que vous devez utiliser pour le paiement est différente pour chaque victime.
TeslaCrypt ou Alpha Crypt vous donne également un lien vers lequel vous pouvez vérifier que la clé de déchiffrement dont dispose le cybercriminel fonctionne bien : vous pouvez demandez, une seule fois, le déchiffrement d'un seul fichier (dont la taille doit être inférieure à 500 KO).
TeslaCrypt, comme Alpha Crypt, et comme tous les « Cryptowares », donne une date limite. Généralement, les cybercriminels exigent un paiement sous 2 ou 3 jours après quoi ils détruisent purement et simplement la clé de déchiffrement. Plus rien ni personne ne peut alors déchiffrer les fichiers, pas même le cybercriminel.
Il a existé, avec les toutes premières versions de TeslaCrypt ou Alpha Crypt, une possibilité de décrypter les fichiers gratuitement (un bug s'étant glissé dans le « Cryptoware » (la clé de déchiffrement était planquée dans l'ordinateur de la victime). Ce n'est plus le cas avec les dernières versions de TeslaCrypt ou Alpha Crypt. Toutefois, on ne désespère pas de trouver un moyen de déchiffrer gratuitement les fichiers chiffrés.
Si les fichiers chiffrés ont une importance vitale et que vous envisagez de payer le rançon, ou si vous ne voulez pas payer la rançon mais espérez un jour pouvoir déchiffrer les fichiers cryptés, il faut sauvegarder les disques sur lesquels des fichiers sont compromis, sans rien modifier.
COUPEZ TOUT - NE TOUCHEZ A RIEN
COUPEZ votre ordinateur !
Ne faites rien dessus.
Sortez le disque dur et faites en un clone sur un banc de copie de manière à avoir la possibilité, si un jour un outil de déchiffrement gratuit existe, de récupérer vos fichiers.
Â
Si vous avez une copie de sécurité de vos fichiers, analysez votre disque de sécurité sur une autre machine, ne contenant aucune donnée sensible, et elle-même totalement fiable et analysée :
Procédure gratuite de décontamination anti-malwares, anti-crapwares, anti-adwares
En particulier, analysez avec Malwarebytes Anti-Malware (MBAM) et avec Hitman Pro (HitmanPro).
En principe, ne jamais payer car cela encourage les cybercriminels mais, si vous êtes obligé de passer au paiement, NE DETRUISEZ AUCUN FICHIER, NE MODIFIEZ RIEN, NE TOUCHEZ PAS AUX SUFFIXES sur votre ordinateur, dans la mesure où la procédure de déchiffrement, après paiement de la rançon, risque d'avoir besoin de ses fichiers inscrits sur votre disque dur.
Si vous choisissez de payer, le déchiffrement de vos fichiers risque d'être très long, selon leur nombre et la machine (plusieurs heures...).
Â
Ces attaques sont perpétrées, essentiellement, de deux manières :
Â
Prévention :
 Â
Â
Un espoir (sans trop d'espoir)
Les images écran qui permettent de reconnaître que vous êtes victime de TeslaCrypt.
|
|