« Nous sommes désolés ! », les opérateurs derrière le ransomware TeslaCrypt mettent un terme à l'activité du logiciel
et donnent une clé universelle de déchiffrement
Lorsqu’il a été détecté en février 2015, le ransomware TeslaCrypt, aussi connu sous le nom de Virus RSA 4096, a très vite gagné en notoriété comme étant une menace pour les joueurs sur PC. En plus de chiffrer les fichiers, il cherche à infecter les fichiers de jeux : jeux sauvegardés, profils des joueurs, etc. Il faut préciser que, dans sa première version, il ne chiffre pas les fichiers de plus de 268 Mo. Par la suite, les victimes étaient invitées à payer une somme de 500 dollars pour pouvoir à nouveau entrer en possession de leurs fichiers. Une somme qui va se voir doublée si la victime ne paye pas dans le temps qui lui est imparti.
Voici la liste des fichiers qui peuvent être chiffrés par le ransomware : 7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb; .mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh; .ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk; .rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref; .mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm; .xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;
Les utilisateurs qui ont été le plus affectés sont aux États-Unis, en Allemagne, en Espagne, en Italie et en France.
Très vite, le ransomware a grandi en maturité, mais également en fonctionnalités au travers des nouvelles variantes. Pourtant, coup de théâtre, les opérateurs derrière le ransomware se rétractent, s’excusent et proposent même d’aider à recouvrer les fichiers chiffrés par leur outil en donnant une clé maîtresse pour déchiffrer les fichiers.
L’un des analystes d’ESET a contacté le groupe de façon anonyme en se servant du canal officiel de support qu’ils ont communiqué aux victimes de leur logiciel malveillant pour demander une clé universelle qui a été communiquée publiquement par les opérateurs, à sa grande surprise. Quoi qu’il en soit, cette clé universelle a permis aux équipes d’ESET de concevoir un outil de déchiffrement qui est proposé gratuitement aux victimes.
Il faut noter que ces pirates n'ont pas parlé d'un quelconque remboursement.
Source : ESET
Voir aussi :
Pourquoi les ransomwares font-ils plus peur que les autres types de virus ? Voici des éléments de réponse compilés sur des forums de cybersécurité
Le site The Pirate Bay a été la cible d'une campagne de malvertising les utilisateurs ont été infectés par le ransomware Cerber
Plus de trois millions de serveurs sont vulnérables au ransomware Samsam d'après une enquête de Talos
Partager