« Nous sommes désolés ! », les opérateurs derrière le ransomware TeslaCrypt mettent un terme à son activité
Et donnent une clé universelle
Le 2016-05-20 00:11:58, par Stéphane le calme, Chroniqueur Actualités
Lorsqu’il a été détecté en février 2015, le ransomware TeslaCrypt, aussi connu sous le nom de Virus RSA 4096, a très vite gagné en notoriété comme étant une menace pour les joueurs sur PC. En plus de chiffrer les fichiers, il cherche à infecter les fichiers de jeux : jeux sauvegardés, profils des joueurs, etc. Il faut préciser que, dans sa première version, il ne chiffre pas les fichiers de plus de 268 Mo. Par la suite, les victimes étaient invitées à payer une somme de 500 dollars pour pouvoir à nouveau entrer en possession de leurs fichiers. Une somme qui va se voir doublée si la victime ne paye pas dans le temps qui lui est imparti.
Voici la liste des fichiers qui peuvent être chiffrés par le ransomware : 7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb; .mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh; .ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk; .rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref; .mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm; .xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;
Les utilisateurs qui ont été le plus affectés sont aux États-Unis, en Allemagne, en Espagne, en Italie et en France.
Très vite, le ransomware a grandi en maturité, mais également en fonctionnalités au travers des nouvelles variantes. Pourtant, coup de théâtre, les opérateurs derrière le ransomware se rétractent, s’excusent et proposent même d’aider à recouvrer les fichiers chiffrés par leur outil en donnant une clé maîtresse pour déchiffrer les fichiers.
L’un des analystes d’ESET a contacté le groupe de façon anonyme en se servant du canal officiel de support qu’ils ont communiqué aux victimes de leur logiciel malveillant pour demander une clé universelle qui a été communiquée publiquement par les opérateurs, à sa grande surprise. Quoi qu’il en soit, cette clé universelle a permis aux équipes d’ESET de concevoir un outil de déchiffrement qui est proposé gratuitement aux victimes.
Il faut noter que ces pirates n'ont pas parlé d'un quelconque remboursement.
Source : ESET
Voir aussi :
Pourquoi les ransomwares font-ils plus peur que les autres types de virus ? Voici des éléments de réponse compilés sur des forums de cybersécurité
Le site The Pirate Bay a été la cible d'une campagne de malvertising les utilisateurs ont été infectés par le ransomware Cerber
Plus de trois millions de serveurs sont vulnérables au ransomware Samsam d'après une enquête de Talos
Voici la liste des fichiers qui peuvent être chiffrés par le ransomware : 7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb; .mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh; .ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk; .rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref; .mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm; .xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;
Les utilisateurs qui ont été le plus affectés sont aux États-Unis, en Allemagne, en Espagne, en Italie et en France.
Très vite, le ransomware a grandi en maturité, mais également en fonctionnalités au travers des nouvelles variantes. Pourtant, coup de théâtre, les opérateurs derrière le ransomware se rétractent, s’excusent et proposent même d’aider à recouvrer les fichiers chiffrés par leur outil en donnant une clé maîtresse pour déchiffrer les fichiers.
L’un des analystes d’ESET a contacté le groupe de façon anonyme en se servant du canal officiel de support qu’ils ont communiqué aux victimes de leur logiciel malveillant pour demander une clé universelle qui a été communiquée publiquement par les opérateurs, à sa grande surprise. Quoi qu’il en soit, cette clé universelle a permis aux équipes d’ESET de concevoir un outil de déchiffrement qui est proposé gratuitement aux victimes.
Il faut noter que ces pirates n'ont pas parlé d'un quelconque remboursement.
Source : ESET
Voir aussi :
-
BufferBobExpert éminentou alors qu'ils utilisaient un fonctionnement un peu comme avec GPG quand tu envoies un mail à plusieurs destinataires, en gros le contenu est chiffré avec une clé symétrique qui est elle-même chiffrées avec la clé publique de tous les destinataires, et on met tout ça en début de fichier, ça permet de ne pas avoir à chiffrer tout le contenu plusieurs foisle 20/05/2016 à 18:33
-
XanatosAOMembre régulierSoit prendre une retraite dorée, avant de se faire attraper par la patrouille.
Soit un gros coup de com' d'ESET : Eset paie les pirates, Eset fournit un outil gratuit, et tout le monde maintenant dira "Eset a un outil contre les ransomwares", et Eset espère qu'avec cette nouvelle notoriété tout le monde achète ses produits.le 21/05/2016 à 10:06 -
XanatosAOMembre régulierPourquoi serais-ce un troll ?
Dans ma boîte, ils ont pu récupérer les fichiers d'un client ce matin-même grâce à cette news et le l'exe fournit par ESET. Un PC qui avait été vérolé il y a plusieurs semaines mais qui par chance n'avait pas encore été reformaté.le 20/05/2016 à 18:56 -
JackJnrMembre confirméMa première question c'est pourquoi ? Quel est leur intérêt là dedans ?le 20/05/2016 à 22:26
-
GilbertLatrancheMembre avertiPeut-être estiment-ils avoir amassé assez d'argent et veulent disparaître des écrans radar ?le 20/05/2016 à 23:25
-
FillPCAMembre régulierSalut,
C'est le gros mythe des éditeurs en connivence avec les cybercriminels. La théorie du complot a la vie dure
FillPCAle 21/05/2016 à 14:34 -
dlandelleMembre du Clubmdr, non seulement ça piège les données, mais en plus ya un backdoor !
l'argent détourné finalement, c'est du budget formation, c'est presque mérité ;-)le 26/05/2016 à 13:05 -
AndnotorRédacteur/Modérateurle 28/05/2016 à 21:53
-
SkyZoThreaDMembre expérimentéUne clé universelle? vraiment? Je suis pas un crack en cryptographie mais ça veut dire qu'il ont utilisé la même clé publique pour tout le monde ?le 20/05/2016 à 15:29
-
SkyZoThreaDMembre expérimentéAh ouai. Ca fait sens mercile 20/05/2016 à 18:39