Ransomware TeslaCrypt .mp3 (_RECOVERxxxx_)

TeslaCrypt est une famille de ransomware chiffreurs de fichiers des plus actifs avec Cryptowall.
Pour rappel les ransomwares chiffreurs de fichiers sont des malwares qui prennent en otage vos documents, le ransomware va empêcher l’accès à vos documents en les chiffrant et vous demande de payer une somme pour récupérer leur accès.
En général, au bout du compte, vos documents sont perdus.

Ce ransomware TeslaCrypt se propage de deux manières différentes :

Dans le cas du ransomware TeslaCrypt, l’extension des documents est modifié en .jpg ou .mp3

TeslaCrypt_extension_ccc

puis un fichier RECOVERxxxx s’ouvre avec les instructions pour payer.
Celles-ci demandent de se connecter au réseau TOR et certains sites en particulier pour effectuer le paiement.
L’utilisateur doit indiquer la clef de cryptage fournit dans les instructions pour récupérer le fichier qui permettrai (soit disant) de récupérer les documents.
Bien entendu, aucune garantie.

On notera que la page suivante ressemble beaucoup au première version de Cryptowall.
La version HTML du fichier RECOVERxxxx

TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES

puis RECOVERxxxx en version image :

TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES_2

et enfin RECOVERxxxx au format texte :

TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES_3

Le contenu du texte :

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
____________________________________________________________________________________________________________________________________________
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
____________________________________________________________________________________________________________________________________________

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED
2. http://fg347djvb.poin84mdgu9e.com/1717617A27149ED
3. https://3st7uyjfocyourll.onion.to/1717617A27149ED

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 3st7uyjfocyourll.onion/1717617A27149ED
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED
http://fg347djvb.poin84mdgu9e.com/1717617A27149ED
https://3st7uyjfocyourll.onion.to/1717617A27149ED
Your personal page (using TOR): 3st7uyjfocyourll.onion/1717617A27149ED
Your personal identification number (if you open the site (or TOR 's) directly): 1717617A27149ED

La détection du sample TeslaCrypt observé :

SHA256: eed0eed86632ea74289e4ab2fccd0dcb27b5a9b754a7f6fc23287720cb7c38bd
Nom du fichier : bbhiy-a.exe
Ratio de détection : 31 / 54
Date d’analyse : 2015-11-09 17:52:00 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2852538 20151109
AVG Crypt5.KBN 20151109
AVware Trojan.Win32.Generic!BT 20151109
AhnLab-V3 Win-Trojan/Malpacked6.Gen 20151109
Arcabit Trojan.Generic.D2B86BA 20151109
Avast Win32:Malware-gen 20151109
Avira TR/Crypt.ZPACK.203958 20151109
Baidu-International Trojan.Win32.Filecoder.EM 20151109
BitDefender Trojan.GenericKD.2852538 20151109
DrWeb Trojan.Encoder.2883 20151109
ESET-NOD32 Win32/Filecoder.EM 20151109
Emsisoft Trojan.GenericKD.2852538 (B) 20151109
F-Secure Trojan.GenericKD.2852538 20151109
Fortinet W32/Filecoder.EM!tr 20151109
GData Trojan.GenericKD.2852538 20151109
Ikarus Trojan.Win32.Filecoder 20151109
K7AntiVirus Trojan ( 004b56ff1 ) 20151109
K7GW Trojan ( 004b56ff1 ) 20151109
Kaspersky UDS:DangerousObject.Multi.Generic 20151109
Malwarebytes Ransom.TeslaCrypt 20151109
McAfee GenericR-EZE!2E7F7CC9A815 20151109
McAfee-GW-Edition Artemis!Trojan 20151109
MicroWorld-eScan Trojan.GenericKD.2852538 20151109
Microsoft Ransom:Win32/Tescrypt!rfn 20151109
NANO-Antivirus Trojan.Win32.Encoder.dyntfa 20151109
Panda Trj/Genetic.gen 20151109
Sophos Mal/Generic-S 20151109
Symantec Trojan.Gen 20151109
Tencent Win32.Trojan.Inject.Auto 20151109
VIPRE Trojan.Win32.Generic!BT 20151109
nProtect Trojan.GenericKD.2852538 20151109

 

Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt

Ransom_Win32_Tescrypt

La récupération des documents est possible.
Ici il faudra tout de même désinfecter votre ordinateur afin de ne pas chiffrer les nouveaux documents qui seront utilisés sur l’ordinateur.

La procédure gratuite suivante devrait vous permettre de désinfecter votre ordinateur, cette procédure est totalement gratuite.

Comment supprimer TeslaCrypt (RSA 4096)


Nettoyer sur Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware :https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
NOD32 en vidéo :

Supprimer les fichiers RECOVERxxxx

Les fichiers RECOVERxxxx sont créés dans chaque dossier.
Vous devez faire une recherche de fichiers afin de tous les supprimer.

Vous avez aussi au démarrage de l’ordinateur car dans le menu Démarrer / Tous Programmes / Démarrage

TeslaCrypt: Décrypter/Récupérer ses documents

Comment décrypter les fichiers du ransomware TeslaCrypt.
Il est en effet maintenant possible de récupérer les fichiers chiffrés par TeslaCrypt, toutes les variantes :
extension .mp3
extension .micro
extension .ttt
extension .jpg
extension .vvv

Procédure de récupération des fichiers TeslaCrypt : Récupérer ses fichiers/documents chiffrés par TeslaCrypt
En vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.