Discussion :

[Stéphane le calme]

« Nous sommes désolés ! », les opérateurs derrière le ransomware TeslaCrypt mettent un terme à l'activité du logiciel
et donnent une clé universelle de déchiffrement

Lorsqu’il a été détecté en février 2015, le ransomware TeslaCrypt, aussi connu sous le nom de Virus RSA 4096, a très vite gagné en notoriété comme étant une menace pour les joueurs sur PC. En plus de chiffrer les fichiers, il cherche à infecter les fichiers de jeux : jeux sauvegardés, profils des joueurs, etc. Il faut préciser que, dans sa première version, il ne chiffre pas les fichiers de plus de 268 Mo. Par la suite, les victimes étaient invitées à payer une somme de 500 dollars pour pouvoir à nouveau entrer en possession de leurs fichiers. Une somme qui va se voir doublée si la victime ne paye pas dans le temps qui lui est imparti.

Voici la liste des fichiers qui peuvent être chiffrés par le ransomware : 7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb; .mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh; .ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk; .rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref; .mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm; .xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

Les utilisateurs qui ont été le plus affectés sont aux États-Unis, en Allemagne, en Espagne, en Italie et en France.

Très vite, le ransomware a grandi en maturité, mais également en fonctionnalités au travers des nouvelles variantes. Pourtant, coup de théâtre, les opérateurs derrière le ransomware se rétractent, s’excusent et proposent même d’aider à recouvrer les fichiers chiffrés par leur outil en donnant une clé maîtresse pour déchiffrer les fichiers.
L’un des analystes d’ESET a contacté le groupe de façon anonyme en se servant du canal officiel de support qu’ils ont communiqué aux victimes de leur logiciel malveillant pour demander une clé universelle qui a été communiquée publiquement par les opérateurs, à sa grande surprise. Quoi qu’il en soit, cette clé universelle a permis aux équipes d’ESET de concevoir un outil de déchiffrement qui est proposé gratuitement aux victimes.

Il faut noter que ces pirates n'ont pas parlé d'un quelconque remboursement.

Source : ESET

Voir aussi :

Pourquoi les ransomwares font-ils plus peur que les autres types de virus ? Voici des éléments de réponse compilés sur des forums de cybersécurité

Le site The Pirate Bay a été la cible d'une campagne de malvertising les utilisateurs ont été infectés par le ransomware Cerber

Plus de trois millions de serveurs sont vulnérables au ransomware Samsam d'après une enquête de Talos

[SkyZoThreaD]

Une clé universelle? vraiment? Je suis pas un crack en cryptographie mais ça veut dire qu'il ont utilisé la même clé publique pour tout le monde ?

[TiranusKBX]

le troll du vendredi ?

[SkyZoThreaD]

le troll du vendredi ?

A propos de... ?

[BufferBob]

Une clé universelle? vraiment? Je suis pas un crack en cryptographie mais ça veut dire qu'il ont utilisé la même clé publique pour tout le monde ?

ou alors qu'ils utilisaient un fonctionnement un peu comme avec GPG quand tu envoies un mail à plusieurs destinataires, en gros le contenu est chiffré avec une clé symétrique qui est elle-même chiffrées avec la clé publique de tous les destinataires, et on met tout ça en début de fichier, ça permet de ne pas avoir à chiffrer tout le contenu plusieurs fois

[SkyZoThreaD]

Ah ouai. Ca fait sens merci

[XanatosAO]

Pourquoi serais-ce un troll ?
Dans ma boîte, ils ont pu récupérer les fichiers d'un client ce matin-même grâce à cette news et le l'exe fournit par ESET. Un PC qui avait été vérolé il y a plusieurs semaines mais qui par chance n'avait pas encore été reformaté.

[JackJnr]

Ma première question c'est pourquoi ? Quel est leur intérêt là dedans ?

[GilbertLatranche]

Ma première question c'est pourquoi ? Quel est leur intérêt là dedans ?

Peut-être estiment-ils avoir amassé assez d'argent et veulent disparaître des écrans radar ?

[XanatosAO]

Soit prendre une retraite dorée, avant de se faire attraper par la patrouille.
Soit un gros coup de com' d'ESET : Eset paie les pirates, Eset fournit un outil gratuit, et tout le monde maintenant dira "Eset a un outil contre les ransomwares", et Eset espère qu'avec cette nouvelle notoriété tout le monde achète ses produits.

[BufferBob]

tout le monde maintenant dira "Eset a un outil contre les ransomwares"

non... ESET met à disposition 1 outil de déchiffrement pour 1 ransomware précis, ils en ont peut-être d'autres qu'ils mettent à disposition gratuitement (à vérifier) tout comme beaucoup d'autres éditeurs antivirus, à la fois c'est très à la mode, à la fois c'est une méthode efficace pour enrayer la propagation d'un malware, tout simplement.

[FillPCA]

Soit prendre une retraite dorée, avant de se faire attraper par la patrouille.
Soit un gros coup de com' d'ESET : Eset paie les pirates, Eset fournit un outil gratuit, et tout le monde maintenant dira "Eset a un outil contre les ransomwares", et Eset espère qu'avec cette nouvelle notoriété tout le monde achète ses produits.

Salut,
C'est le gros mythe des éditeurs en connivence avec les cybercriminels. La théorie du complot a la vie dure
FillPCA

[JackJnr]

Peut-être estiment-ils avoir amassé assez d'argent et veulent disparaître des écrans radar ?

Effectivement je ne l'avais pas envisagé sous cet angle. Maintenant ça me parait probable

[hotcryx]

C'était un exe la clé universelle?

[dlandelle]

mdr, non seulement ça piège les données, mais en plus ya un backdoor !

l'argent détourné finalement, c'est du budget formation, c'est presque mérité ;-)

[neuneu1]

BONJOUR

JE VIENS DE TEST SUR vk2m 07 05 2015.zip.id-30F457AC.{mailrepa.lotos@aol.com}.CrySiS BEN MARCHE PAS LOL

[Andnotor]

BONJOUR

JE VIENS DE TEST SUR vk2m 07 05 2015.zip.id-30F457AC.{mailrepa.lotos@aol.com}.CrySiS BEN MARCHE PAS LOL

Oui mais la porte était fermée ou... rouge ????

[Kapeutini]

Ce sont des actes criminels et ces personnes devraient être poursuivi et sanctionnées sévèrement mais pour cela il nous faut des accords internationaux