[Info] Épidémie Ransomware crypteur de fichiers

[Le Novice °¿°]

Salut à tous

 

A propos d'une épidémie d'attaques du type Ransomware crypteur de fichiers.

​Source Forum Orange, auteur Pierre Terdef (Assiste.Forums)

 

Je vous invite à lire l'alerte du Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (Agence nationale de la sécurité des systèmes d'information qui dépend du Premier Ministre) à propos du Cryptoware appelé TeslaCrypt

 

L'alerte : http://assiste.forum.free.fr/viewtopic.php?f=173&t=30317

 

Je répète que, s'il s'agit bien d'une attaque par le Cryptoware appelé TeslaCrypt, et si la victime caresse l'espoir de récupérer ses fichiers un jour sans payer la rançon, il ne faut toucher à rien sur le disque (les partitions) qui ont été ciblées par l'attaque.

 

...

[Wullfk]

Bonjour,

 

Merci pour l'info.

 

En ces veilles de fêtes, la prudence est de mise, car il va y avoir beaucoup de mail envoyé pour souhaiter de bonnes fêtes.

 

++

[Pierre (aka Terdef)]

Bonjour,

 

Pour les visiteurs qui ne savent pas très bien de quoi on parle :

 

Le chiffrement avec demande de rançon ne relève absolument pas d'un virus dans la machine de la victime.

Il n'y a rien dans la machine de la victime. Tout se passe sur une machine dite C&C (Command and Control) d'un cybercriminel et on ne peut remonter à lui puisqu'il est derrière une couche réseau appelée TOR qui le rend indétectable.

 

L'attaque est celle d'un Ransomware (logiciels de demande de rançon), et, plus précisément, d'un Cryptoware (logiciel de chiffrement (cryptographie) avec demande de rançon)

 

1. Si les fichiers font l'objet d'une sauvegarde, il faudra repartir de la sauvegarde de ces fichiers.
   
2. Si les fichiers ne sont pas vitaux, ils faut les considérer comme définitivement perdus (en garder une copie pour le cas ou, un jour, un outil gratuit sera écrit. Il y a très peu de chance).
   
3. Si les fichiers ne sont pas sauvegardés et qu'ils sont vitaux, il n'y a pas d'autre solution que de payer la rançon au cybercriminel et de faire le jeu des cybercriminels. Il faut alors payer dans les 2 ou 3 jours (cela est écrit dans le message affiché par le cybercriminel). Il ne faut surtout pas attendre la fin des fêtes. Passé ce délais, le cybercriminel détruit la clé de déchiffrement et il ne sera plus possible, même au cybercriminel, de déchiffrer les fichiers qui seront définitivement perdus.

 

Attention - Arnaques !

Des centaines de sites prétendus de décontamination, qui ne sont que des nébuleuses de sites satellites poussant de mauvais anti-malwares incapables de se vendre sans la peur et le mensonge, prétendent pouvoir faire quelque chose contre TeslaCrypt.

NE FAITES RIEN - N'ACHETEZ RIEN - IL N'Y A PAS DE SOLUTION (sauf à payer la rançon).

 

 

Cordialement

Modifié le 24 décembre 2015 par Pierre (aka Terdef)

[Wullfk]

Bonjour Pierre,

 

Merci pour ce rappel on ne peut plus explicite.

 

d'après ce que tu dis il y a guerre de chance de voir apparaître une parade à ce type "d'infection", si ce n'est celle de l'utilisateur qui doit rester vigilant sur la réception des mails et surtout ne pas les ouvrir.

 

J'en déduis que toutes les suites de sécurité et autres outils anti-malwares, sont d'aucune efficacité face à ce type d' "infection" du faite qu'il n'y a rien d'hébergé sur le PC victime.

 

++

[ab-web]

bonjour

 

 

NE FAITES RIEN - N'ACHETEZ RIEN -

OK c'est certain

 

 

IL N'Y A PAS DE SOLUTION (sauf à payer la rançon).

payer la rançon ?

on peu rêver , je pense que ce n'est qu'une grande Arnaque

il y a de fortes chances que payer la rançon ( même en temps voulu )ne permette pas le décryptage des fichiers .

je ne peu pas parler d'expérience , cela ne m'est jamais arrivé

Modifié le 24 décembre 2015 par ab-web

[Pierre (aka Terdef)]

Bonjour,

Payer la rançon, c'est faire le jeu des terroristes du Web.

Il y a quelques outils de déchiffrement gratuits. Ils sont très spécifiques et ne ciblent, chaque fois, qu'une version précise d'un unique cryptoware.

Devadip me rappelle, sur mes forums, l'existence d'un "décrypteur" pour (contre) TeslaCrypt :https://github.com/googulator/teslacrack
Mais il s'agit de récupérer du code Python, de coller ce code sur un serveur offrant Python, d'exécuter ce code Python sur le serveur après avoir remonté un fichier chiffré de manière à tenter de reconstruire la clé de déchiffrement, puis de lancer un autre programme Python, toujours sur le serveur, etc. ... Il faudrait, si cela est fonctionnel, ce qui n'est pas confirmé par des autorités, que des Webmasters ayant des hébergements sur des serveurs avec Python, en fasse un service gratuit en ligne. Je ne vois pas l'utilisateur " normal " utiliser cx_Freeze pour installer Python sur une machine Windows (il n'y a que les machines Windows victimes de TeslaCrypt), faire de la compilation, de l'édition des liens, etc. ... et l'utilisateur " normal " ne se balade pas dans (sur) un serveur comme s'il était chez lui. PS : pour ceux qui ne la savent pas (et, normalement, mis à part quelques développeurs, personne ne sait ce que c'est, ni même que cela existe), Python est un langage de programmation.

Kaspersky et CISCO avaient un décrypteur pour les versions initiales du Cryptoware appelé TeslaCrypt mais il ne fonctionne que sur les versions initiales (y compris bêta) jusqu'à la version 2 (le cybercriminel planquait la clé de déchiffrement sur la machine de la victime dans un fichier appelé key.dat. Ils ont corrigé ce bug rapidement. On est à la version 8 de TeslaCrypt.

Il y a eu, aussi, l'opération Tovar. Ce fut un consortium constitué de :

• Un groupe d'organismes d'application de la loi (y compris le FBI et Interpol)
• Des fournisseurs de logiciels de sécurité
• Plusieurs universités

Le 2 Juin 2014, le ministère de la Justice des États-Unis a annoncé officiellement que le week-end précédent, l'opération Tovar, avait perturbé le botnet Gameover Zeus (réduire temporairement la communication entre Gameover Zeus et ses serveurs de C&C (Commande et Contrôle)) qui avait été utilisé pour distribuer le ransomware CryptoLocker et autres logiciels malveillants. Le ministère de la Justice a également émis publiquement un acte d'accusation contre le hacker russe Evgueni Bogachev pour son implication présumée dans le réseau de zombies.
Botnet Gameover ZeuS
Environ un mois plus tard, la société de sécurité néerlandaise Fox-IT a pu se procurer la base de données de clés privées utilisées par CryptoLocker et Fox-IT et son compatriote, le cabinet FireEye, ont introduit un service en ligne qui permet aux utilisateurs infectés de récupérer leur clé privée par le téléchargement d'un fichier d'échantillon : ils reçoivent ensuite un outil de décryptage.

 

Il y a aussi quelques outils gratuits de Kaspersky pour déchiffrer les fichiers crypter avec les cryptowares :
Rector (déchiffrement possible sans rançon)
Xorast (déchiffrement possible sans rançon)
Hanar (déchiffrement possible sans rançon)
Rakhni (déchiffrement possible sans rançon)

 

Je crois qu'il y en a un ou deux autres, à voir dans la liste des Micro antivirus gratuits.

 

Entendons-nous bien : en matière de cryptowares, il n'y a rien dans la machine de la victime si ce n'est les fichiers cryptés - tout se passe dans la machine de C&C (Command and Control) qui pilote le segment de Botnet (réseau de machines zombies) loué par le cybercriminel (à un autre cybercriminel) pour propager son attaque. Il n'y a pas d'antivirus, au sens propre du terme, contre les traces d'une attaque en crytographie. Une fois les fichiers chiffrés, le cryptoware s'auto-détruit de manière à être le moins possible exposé aux antivirus. Il y a peut-être quelques fichiers et exécutables du cryptoware qui seront nécessaires à l'opération de déchiffrement et il vaut mieux ne pas les rechercher ni les détruire si la victime envisage de payer la rançon.

 

Liste des Micro antivirus gratuits

 

Cordialement

Modifié le 26 décembre 2015 par Pierre (aka Terdef)

[Wullfk]

Bonjour,

 

Merci pour ce complément d'infos.

 

Ceci dit tout ceci serait bien trop technique à effectuer pour une grande majorité d'internaute (moi compris) donc actuellement il vaut mieux partir du principe que les fichiers cryptés sont "quasiment" irrécupérable.

 

Peut être une lueur d'espoir pour ceux qui ont des fichiers cryptés (avec extension .vvv) par TeslaCrypt

 

Possible procédure de récupération/décryptage des .vvv

 

Bon c'est vrai que c'est un peu "sport" à effectuer, pour une grande majorité d'internaute, mais c'est toujours mieux que rien.

[Tonton]

Salut Wullfk, bonsoir à tous,

 

Ton post est tombé à point nommé : en effet, j'intervenais sur un PC que l'on m'a confié suite au cryptage des fichiers en .vvv par TeslaCrypt.

 

Grâce au tuto de Malekal-morte et de l'aide précieuse apportée sur son forum, l'intégralité des fichiers (plus de 1.300) a pu être décryptée et récupérée.

 

Je lui renouvelle tous mes remerciements.

 

Les liens :

• tuto
• sujet

Bon réveillon !

Tonton

[Apollo]

Bonsoir,

 

ceci peut toujours servir: http://www.kaspersky.com/be/

 

Désolé mais même si je tape Kaspersky.fr, je suis redirigé vers le site Belgique/Luxembourg.

 

Autre lien (en angliche) https://noransom.kaspersky.com/

 

 

++

[Tonton]

Salut Apollo,

 

Oui, bon outil ; mais autant il était efficace pour décrypter des fichiers cryptés par TeslaCrypt-1, autant il est inopérant pour décrypter des fichiers cryptés par TeslaCrypt-2.

 

Mais, on peut leur faire confiance, ils proposeront très certainement un décrypteur de qualité, ... jusqu'à ce que sorte TeslaCrypt-3...

 

@+,

Tonton