TeslaCrypt Ransomware
TeslaCrypt est une infection ransomware qui utilise le cryptage AES pour crypter les fichiers des victimes. TeslaCrypt demande ensuite à la victime de payer une rançon de 500 USD en BitCoin ou de 1000 USD en utilisant les PayPal My Cash Cards. Les analystes de la sécurité PC ont noté que TeslaCrypt est différent des autres attaques rasomware récentes en ce que TeslaCrypt autorise les victimes à payer en utilisant une alternative à BitCoin, ce qui permet à TeslaCrypt d'atteindre un groupe potentiel plus large de victimes. Les cartes PayPal My Cash peuvent être achetées dans les magasins aux États-Unis, ce qui indique clairement que TeslaCrypt est conçu pour attaquer principalement les utilisateurs d'ordinateurs aux États-Unis. Cependant, il est plus probable que PayPal puisse confisquer ces types de bénéfices, ce qui signifie que TeslaCrypt exige deux fois plus pour ces types de paiements. C'est l'une des raisons pour lesquelles ces attaques n'utilisent pas les paiements par carte de crédit ou des méthodes similaires, car celles-ci seraient beaucoup trop faciles à retracer.
Les analystes de la sécurité PC ont noté que, contrairement à d'autres types de ransomwares, TeslaCrypt cible spécifiquement les fichiers de jeux vidéo. De nombreux chevaux de Troie ransomwares crypteront tous les fichiers de documents sur l'ordinateur de la victime, allant des documents de traitement de texte aux images. TeslaCrypt accorde une attention particulière aux jeux populaires tels que Minecraft, World of Warcraft et Steam. TeslaCrypt peut cibler plus de cinquante jeux vidéo différents sur les ordinateurs de la victime. Cela montre que des tiers tentent d'exploiter la qualité addictive et le temps perdu impliqués dans ces jeux pour augmenter la probabilité que les victimes paient la rançon pour retrouver l'accès à leurs jeux préférés. Les experts en sécurité PC conseillent aux utilisateurs de PC de protéger leurs machines contre les attaques TeslaCrypt.
Le cheval de Troie TeslaCrypt Ransomware prendra vos fichiers en otage
TeslaCrypt est menaçant en ce que TeslaCrypt attaque directement les ordinateurs. Contrairement aux PPI (programmes potentiellement indésirables) qui peuvent se limiter à afficher des publicités irritantes, ou aux ransomwares Winlockers qui peuvent simplement essayer d'alarmer les utilisateurs d'ordinateurs inexpérimentés en leur faisant croire que leurs machines ont été bloquées par un tiers, TeslaCrypt crypte les fichiers de la victime et les conserve fichiers pour une rançon jusqu'à ce que la transaction d'argent se produise.
Les ransomwares, comme son nom l'indique, impliquent de prendre en otage les fichiers de la victime et de les garder en échange d'une rançon. Essentiellement, TeslaCrypt analysera un ordinateur à la recherche de fichiers avec des extensions populaires telles que DOC, 7Z, RAR, M4A, etc. Ensuite, TeslaCrypt cryptera les fichiers en utilisant un algorithme de cryptage AES. Il n'y a aucun moyen de déchiffrer ces fichiers sans obtenir cette clé de déchiffrement unique, ce qui rend ces types d'attaques particulièrement irritants. Dans le cadre de son attaque, TeslaCrypt créera des fichiers .TXT nommés HELP_TO_DECRYPT_YOUR_FILES.txt et changera l'image du bureau de la victime en une bannière qui se lit comme suit:
Vos fichiers personnels sont cryptés!
Vos fichiers ont été cryptés en toute sécurité sur ce PC: photos, vidéos, documents, etc. Cliquez sur le bouton «Afficher les fichiers cryptés» pour afficher une liste complète des fichiers cryptés, et vous pouvez le vérifier personnellement.
Le chiffrement a été produit à l'aide d'une clé publique unique RSA-2048 générée pour cet ordinateur. Pour déchiffrer les fichiers, vous devez obtenir la clé privée.
Fichiers connus affectés par TeslaCrypt:
.7z, .map, .m2, .rb, .jpg, .rar, .wmo, .mcmeta, .png, .cdr, .m4a, .itm, .vfs0, .jpeg, .indd, .wma, .sb , .mpqge, .txt, .ai, .avi, .fos, .kdb, .p7c, .eps, .wmv, .mcgame, .db0, .p7b, .pdf, .csv, .vdf, .DayZProfile,. p12, .pdd, .d3dbsp, .ztmp, .rofl, .pfx, .psd, .sc2save, .sis, .hkx, .pem, .dbfv, .sie, .sid, .bar, .crt, .mdf, .sum, .ncf, .upk, .cer, .wb2, .ibank, .menu, .das, .der, .rtf, .t13, .layout, .iwi, .x3f, .wpd, .t12, .dmp , .litemod, .srw, .dxg, .qdf, .blob, .asset, .pef, .xf, .gdb, .esm, .forge, .ptx, .dwg, .tax, .001, .ltx,. r3d, .pst, .pkpass, .vtf, .bsa, .rw2, .accdb, .bc6, .dazip, .apk, .rwl, .mdb, .bc7, .fpk, .re4, .raw, .pptm, .bkp, .mlx, .sav, .raf, .pptx, .qic, .kf, .lbf, .orf, .ppt, .bkf, .iwd, .slm, .nrw, .xlk, .sidn, .vpk , .bik, .mrwref, .xlsb, .sidd, .tor, .epk, .mef, .xlsm, .mddata, .psk, .rgss3a, .erf, .xlsx, .itl, .rim, .pak,. kdc, .xls, .itdb, .w3x, .big, .dcr, .wps, .icxs, .fsh, .unity3d, .cr2, .docm, .hvpl, .ntl, .wotreplay, .crw, .docx, .hplg, .arch00, .xxx, .ba y, .doc, .hkdb, .lvl, .desc, .sr2, .odb, .mdbackup, .snx, .py, .srf, .odc, .syncdb, .cfr, .m3u, .arw, .odm, .gho, .ff, .flv, .3fr, .odp, .cas, .vpp, _pc, .js, .dng, .ods, .svg, .lrf, .css, .jpe, .odt
TeslaCrypt affirmera que la victime n'a que trois jours pour effectuer le paiement et permettre à la victime de décrypter un seul fichier gratuitement comme preuve qu'elle peut effectuer la tâche. TeslaCrypt peut être distribué en utilisant des méthodes de distribution de menaces typiques. Cela signifie que l'utilisation de logiciels de sécurité solides et les habitudes de sécurité en ligne courantes peuvent empêcher ces types d'attaques. Les analystes de la sécurité PC déconseillent fortement de payer l'amende TeslaCrypt. Cela encourage les tiers et finance leurs activités, et les utilisateurs d'ordinateurs ne peuvent pas faire confiance aux personnes mal intentionnées pour tenir parole et fournir la clé de décryptage. Il est parfois possible de restaurer certains fichiers à l'aide de Shadow Explorer et d'autres outils spécialisés. La prévention et l'utilisation de sauvegardes hors site pour restaurer correctement les fichiers cryptés sont la meilleure solution face aux menaces de ransomwares.
