Ransomware TeslaCrypt .mp3 (_RECOVERxxxx_)
TeslaCrypt est une famille de ransomware chiffreurs de fichiers des plus actifs avec Cryptowall.
Pour rappel les ransomwares chiffreurs de fichiers sont des malwares qui prennent en otage vos documents, le ransomware va empêcher l’accès à vos documents en les chiffrant et vous demande de payer une somme pour récupérer leur accès.
En général, au bout du compte, vos documents sont perdus.
Ce ransomware TeslaCrypt se propage de deux manières différentes :
Dans le cas du ransomware TeslaCrypt, l’extension des documents est modifié en .jpg ou .mp3
puis un fichier RECOVERxxxx s’ouvre avec les instructions pour payer.
Celles-ci demandent de se connecter au réseau TOR et certains sites en particulier pour effectuer le paiement.
L’utilisateur doit indiquer la clef de cryptage fournit dans les instructions pour récupérer le fichier qui permettrai (soit disant) de récupérer les documents.
Bien entendu, aucune garantie.
On notera que la page suivante ressemble beaucoup au première version de Cryptowall.
La version HTML du fichier RECOVERxxxx
puis RECOVERxxxx en version image :
et enfin RECOVERxxxx au format texte :
Le contenu du texte :
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! What happened to your files ? All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) What does this mean ? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. How did this happen ? Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server. What do I do ? ____________________________________________________________________________________________________________________________________________ Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist. ____________________________________________________________________________________________________________________________________________ For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below: 1. http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED 2. http://fg347djvb.poin84mdgu9e.com/1717617A27149ED 3. https://3st7uyjfocyourll.onion.to/1717617A27149ED If for some reasons the addresses are not available, follow these steps: 1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: 3st7uyjfocyourll.onion/1717617A27149ED 4. Follow the instructions on the site. IMPORTANT INFORMATION: Your personal pages: http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED http://fg347djvb.poin84mdgu9e.com/1717617A27149ED https://3st7uyjfocyourll.onion.to/1717617A27149ED Your personal page (using TOR): 3st7uyjfocyourll.onion/1717617A27149ED Your personal identification number (if you open the site (or TOR 's) directly): 1717617A27149ED
La détection du sample TeslaCrypt observé :
| SHA256: | eed0eed86632ea74289e4ab2fccd0dcb27b5a9b754a7f6fc23287720cb7c38bd |
| Nom du fichier : | bbhiy-a.exe |
| Ratio de détection : | 31 / 54 |
| Date d’analyse : | 2015-11-09 17:52:00 UTC (il y a 1 minute) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| ALYac | Trojan.GenericKD.2852538 | 20151109 |
| AVG | Crypt5.KBN | 20151109 |
| AVware | Trojan.Win32.Generic!BT | 20151109 |
| AhnLab-V3 | Win-Trojan/Malpacked6.Gen | 20151109 |
| Arcabit | Trojan.Generic.D2B86BA | 20151109 |
| Avast | Win32:Malware-gen | 20151109 |
| Avira | TR/Crypt.ZPACK.203958 | 20151109 |
| Baidu-International | Trojan.Win32.Filecoder.EM | 20151109 |
| BitDefender | Trojan.GenericKD.2852538 | 20151109 |
| DrWeb | Trojan.Encoder.2883 | 20151109 |
| ESET-NOD32 | Win32/Filecoder.EM | 20151109 |
| Emsisoft | Trojan.GenericKD.2852538 (B) | 20151109 |
| F-Secure | Trojan.GenericKD.2852538 | 20151109 |
| Fortinet | W32/Filecoder.EM!tr | 20151109 |
| GData | Trojan.GenericKD.2852538 | 20151109 |
| Ikarus | Trojan.Win32.Filecoder | 20151109 |
| K7AntiVirus | Trojan ( 004b56ff1 ) | 20151109 |
| K7GW | Trojan ( 004b56ff1 ) | 20151109 |
| Kaspersky | UDS:DangerousObject.Multi.Generic | 20151109 |
| Malwarebytes | Ransom.TeslaCrypt | 20151109 |
| McAfee | GenericR-EZE!2E7F7CC9A815 | 20151109 |
| McAfee-GW-Edition | Artemis!Trojan | 20151109 |
| MicroWorld-eScan | Trojan.GenericKD.2852538 | 20151109 |
| Microsoft | Ransom:Win32/Tescrypt!rfn | 20151109 |
| NANO-Antivirus | Trojan.Win32.Encoder.dyntfa | 20151109 |
| Panda | Trj/Genetic.gen | 20151109 |
| Sophos | Mal/Generic-S | 20151109 |
| Symantec | Trojan.Gen | 20151109 |
| Tencent | Win32.Trojan.Inject.Auto | 20151109 |
| VIPRE | Trojan.Win32.Generic!BT | 20151109 |
| nProtect | Trojan.GenericKD.2852538 | 20151109 |
Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt
La récupération des documents est possible.
Ici il faudra tout de même désinfecter votre ordinateur afin de ne pas chiffrer les nouveaux documents qui seront utilisés sur l’ordinateur.
La procédure gratuite suivante devrait vous permettre de désinfecter votre ordinateur, cette procédure est totalement gratuite.
Comment supprimer TeslaCrypt (RSA 4096)
Nettoyer sur Malwarebytes Anti-Malware
- Téléchargez et installez Malwarebyte’s anti-Malware :https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
- Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
- Lancez une analyse rapide
- A l’issu du scan, supprimez toutes les menaces détectées.
Malwarebytes Anti-Malware en vidéo :
Scan en ligne NOD32
Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32
NOD32 en vidéo :
Supprimer les fichiers RECOVERxxxx
Les fichiers RECOVERxxxx sont créés dans chaque dossier.
Vous devez faire une recherche de fichiers afin de tous les supprimer.
Vous avez aussi au démarrage de l’ordinateur car dans le menu Démarrer / Tous Programmes / Démarrage
TeslaCrypt: Décrypter/Récupérer ses documents
Comment décrypter les fichiers du ransomware TeslaCrypt.
Il est en effet maintenant possible de récupérer les fichiers chiffrés par TeslaCrypt, toutes les variantes :
extension .mp3
extension .micro
extension .ttt
extension .jpg
extension .vvv
Procédure de récupération des fichiers TeslaCrypt : Récupérer ses fichiers/documents chiffrés par TeslaCrypt
En vidéo :
Besoin d’aide personnalisée ?
Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus
Prévention : comment éviter mes ransomwares ?
Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.
Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).
Voici quelques liens pour sécuriser votre ordinateur.
Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious
Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.