Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Labs : Le ransomware crypteur TeslaCrypt 2.0 travestit son identité pour réclamer une rançon de 500 dollars

juillet 2015 par Kaspersky Lab

La plupart des infections par TeslaCrypt se produisent aux Etats-Unis, en Allemagne et en Espagne, suivis de l’Italie, de la France et du Royaume-Uni. Kaspersky Lab a détecté un comportement curieux dans une nouvelle menace de la famille de ransomwares crypteurs TeslaCrypt. La version 2.0 du cheval de Troie notoirement connu pour infecter les ordinateurs de joueurs affiche en effet dans le navigateur une page HTML qui est une réplique exacte de CryptoWall 3.0, un autre ransomware célèbre. Sans doute les criminels le font-ils avec une intention bien précise : à ce jour, de nombreux fichiers cryptés par CryptoWall n’ont pas pu être décryptés, ce qui n’est pas le cas pour de multiples exemples observés d’infection par TeslaCrypt. Une fois l’infection réussie, le programme malveillant réclame une rançon de 500 dollars en échange de la clé de décryptage ; si la victime tarde à obtempérer, le montant de la rançon double.

Les premiers échantillons de TeslaCrypt ont été détectés en février 2015 et ce nouveau cheval de Troie s’est acquis une notoriété immédiate auprès de joueurs sur ordinateurs. Parmi d’autres types de fichiers ciblés, il tente d’infecter des fichiers typiques de l’univers des jeux : parties sauvegardées, profils d’utilisateurs, replays, etc. Cependant, TeslaCrypt ne crypte pas les fichiers dont la taille est supérieure à 268 Mo.

Mécanisme d’infection

Quand TeslaCrypt infecte une nouvelle victime, il génère une adresse Bitcoin distincte pour recevoir le paiement de sa rançon, ainsi qu’une clé secrète permettant de lever le cryptage. Les serveurs de commande C&C de TeslaCrypt se trouvent dans le réseau Tor. La version 2.0 du cheval de Troie utilise deux jeux de clés : l’un est unique au sein d’un système infecté, l’autre est généré à répétition chaque fois que le programme malveillant est relancé dans le système. En outre, la clé secrète servant à crypter les fichiers de l’utilisateur n’est pas enregistrée sur le disque dur, ce qui complique nettement leur décryptage. Les malwares de la famille TeslaCrypt ont été observés se propageant via les kits d’exploitation de vulnérabilités Angler, Sweet Orange et Nuclear. Dans ce mécanisme de propagation, la victime visite un site Web infecté et le code malveillant exploite des vulnérabilités du navigateur, le plus souvent dans des modules additionnels, pour installer le malware spécialisé sur l’ordinateur cible.

« TeslaCrypt est conçu pour tromper et intimider les joueurs. Par exemple, sa version précédente prévenait la victime que ses fichiers avaient été cryptés avec le fameux algorithme de cryptage RSA-2048 et qu’elle n’avait donc d’autre choix que de verser la rançon. En réalité, les cybercriminels n’utilisaient pas cet algorithme. Dans sa dernière déclinaison, TeslaCrypt persuade les victimes qu’elles ont affaire à CryptoWall : dès lors que celui-ci a crypté des fichiers de l’utilisateur, il n’existe aucun moyen de les décrypter. Cependant, tous les liens mènent à un serveur TeslaCrypt : de toute évidence, les auteurs du malware n’ont aucune intention de faire don à un concurrent de l’argent extorqué à leurs victimes », commente Fedor Sinitsyn, analyste senior en malware chez Kaspersky Lab.

Recommandations aux utilisateurs
• Effectuez régulièrement des sauvegardes de tous vos fichiers importants. Les copies doivent être conservées sur des supports déconnectés physiquement de l’ordinateur aussitôt la sauvegarde effectuée.
• Il est vital de mettre à jour vos logiciels à mesure que de nouvelles versions sont disponibles, en particulier votre navigateur et ses modules additionnels.
• Au cas où un programme malveillant parvient néanmoins à s’infiltrer dans votre système, il sera le plus efficacement contré par la dernière version en date d’une solution de sécurité dont les bases de données sont actualisées et les modules de protection activés.

Les produits de Kaspersky Lab détectent ce programme malveillant sous l’appellation Trojan-Ransom.Win32.Bitman.tk et protègent avec succès les utilisateurs contre cette menace.

En outre, un sous-système de contre-mesures contre les cryptomalwares est intégré aux solutions de Kaspersky Lab. Celui-ci enregistre l’activité des applications suspectes qui tentent d’ouvrir les fichiers personnels de l’utilisateur et en crée immédiatement des sauvegardes locales et protégées. Si l’application est ensuite jugée malveillante, le dispositif annule automatiquement les modifications indésirables en remplaçant les fichiers touchés par leurs copies de sauvegarde. Les utilisateurs sont ainsi protégés des crypto malwares encore inconnus. Une version complète de ce rapport est disponible sur le site Securelist.com Kaspersky Lab met tout en œuvre pour protéger les internautes contre les ransomwares. En avril dernier, en conjonction avec la National High Tech Crime Unit aux Pays-Bas, la société a lancé le site Web Ransomware Decryptor, qui aide les victimes de l’infâme ransomware CoinVault à récupérer leurs données sans payer de rançon aux criminels.




Voir les articles précédents

    

Voir les articles suivants