{"id":4383,"date":"2015-03-23T17:01:39","date_gmt":"2015-03-23T17:01:39","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=4383"},"modified":"2020-02-26T15:51:48","modified_gmt":"2020-02-26T15:51:48","slug":"ransomware-teslacrypt-jeux-en-ligne","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ransomware-teslacrypt-jeux-en-ligne\/4383\/","title":{"rendered":"Le nouveau ransomware TeslaCrypt cible les fichiers de jeux en ligne"},"content":{"rendered":"

Il existe d\u00e9sormais un nouveau ransomware ciblant les joueurs de 40 jeux en ligne<\/a> dans ce qui semble \u00eatre une tentative de cibler un public d\u2019utilisateurs informatiques plus jeune.<\/p>\n

Les ransomwares sont un type de malware qui cible et chiffre les fichiers de l\u2019utilisateur de la machine infect\u00e9e. Une fois les fichiers chiffr\u00e9s, les auteurs contr\u00f4lant le malware exigent un paiement en \u00e9change de la cl\u00e9 priv\u00e9e qui peut d\u00e9chiffrer les fichiers. Apr\u00e8s une p\u00e9riode de temps pr\u00e9d\u00e9termin\u00e9e, les criminels d\u00e9truisent la cl\u00e9 de d\u00e9chiffrement.<\/p>\n

Le malware a d\u2019abord \u00e9t\u00e9 d\u00e9tect\u00e9 par Bleeping Computer, un forum de support technique et d\u2019\u00e9ducation des utilisateurs qui s\u2019est rapidement \u00e9tabli comme la source d\u2019informations principale sur les techniques de chiffrement et les ransomwares. Bleeping Computer a d\u00e9couvert le malware TelsaCrypt alors que la compagnie sp\u00e9cialis\u00e9e en s\u00e9curit\u00e9,\u00a0 Bromium, a publi\u00e9 un rapport s\u00e9par\u00e9 et compl\u00e8tement ind\u00e9pendant sur la menace, qu\u2019elle qualifie comme une nouvelle variante de Cryptolocker. Bleeping Computer attribue la d\u00e9couverte de TeslaCrypt \u00e0 Fabian Wosar d\u2019Emsisoft.<\/p>\n

Les kits d\u2019exploit sont une mani\u00e8re facile pour les criminels de t\u00e9l\u00e9charger des malwares sur les machines de leurs victimes.<\/div>\n

Selon Bleeping Computer, TeslaCrypt cible les fichiers associ\u00e9s aux jeux et aux plateformes telles que RPG Maker, League of Legends, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks et autres jeux populaires. C\u2019est un changement par rapport aux attaques ant\u00e9rieures<\/a> qui ciblaient plut\u00f4t des documents, des photos, des vid\u00e9os et autres fichiers standard stock\u00e9s sur les ordinateurs des utilisateurs. \u00a0Il d\u00e9ploie un chiffrement AES afin que les gamers ne soient pas capables d\u2019acc\u00e9der \u00e0 leurs fichiers de jeux sans la cl\u00e9 de chiffrement. Au fait, cette cl\u00e9 co\u00fbtera \u00e0 l\u2019utilisateur 500 dollars s\u2019il choisit de payer en Bitcoin et 1000 dollars s\u2019il choisit de payer via une carte My Cash de PayPal.<\/p>\n

Alors que Bleeping Computer<\/a> a r\u00e9v\u00e9l\u00e9 l\u2019histoire, Bromium en a rajout\u00e9 <\/a>\u00a0en d\u00e9terminant comment TeslaCrypt \u00e9tait attribu\u00e9. Sans surprise, les criminels dissimulent la menace dans le kit exploit Angler. Les kits exploit sont des logiciels pr\u00e9con\u00e7us pour compromettre des syst\u00e8mes informatiques. Ils viennent remplis d\u2019exploits ciblant les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 les plus communes et tout comme c\u2019est le cas pour les logiciels l\u00e9gitimes, les pirates peuvent payer des frais de licence afin de pouvoir y acc\u00e9der. Les kits d\u2019exploit sont une mani\u00e8re facile pour les criminels de t\u00e9l\u00e9charger des malwares sur les machines de leurs victimes. Pendant des ann\u00e9es, BlackHole fut le premier kit d\u2019exploit. N\u00e9anmoins, ce kit a \u00e9t\u00e9 mis de c\u00f4t\u00e9 apr\u00e8s que son auteur ait \u00e9t\u00e9 arr\u00eat\u00e9 en Russie. Pendant l\u2019ann\u00e9e et demi qui a suivi, Angler est apparu pour combler le vide en int\u00e9grant constamment de nouveaux zero-days ainsi que des exploits pour ces vuln\u00e9rabilit\u00e9s.<\/p>\n

Un nouveau #ransomware appel\u00e9 #TeslaCrypt cible les gamers<\/p>Tweet<\/a><\/blockquote>\n

Apr\u00e8s l\u2019infection, le malware change le fond d\u2019\u00e9cran de l\u2019ordinateur afin d\u2019indiquer \u00e0 l\u2019utilisateur que ses fichiers ont \u00e9t\u00e9 chiffr\u00e9s. Le message contient des instructions sur comment et o\u00f9 les utilisateurs doivent se rendre pour acheter la cl\u00e9 priv\u00e9e afin de d\u00e9chiffrer leurs fichiers. Une partie du processus inclut le t\u00e9l\u00e9chargement du navigateur Tor. Curieusement, il existe un site de services cach\u00e9s o\u00f9 les utilisateurs infect\u00e9s peuvent recevoir un support technique de la part des auteurs de malwares qui leur expliqueront comment r\u00e9aliser un paiement pour ensuite d\u00e9chiffrer leurs fichiers. Le message contient \u00e9galement une date limite, apr\u00e8s cette date la cl\u00e9 priv\u00e9e de chiffrement sera d\u00e9truite et les fichiers ne pourront jamais \u00eatre r\u00e9cup\u00e9r\u00e9s.<\/p>\n

Le message est tr\u00e8s similaire \u00e0 celui utilis\u00e9 par le ransomware Cryptolocker et c\u2019est en fait certainement la raison pour laquelle Bromium pense que les deux malwares sont li\u00e9s. Comme Bromium le souligne, les similarit\u00e9s techniques entre les deux sont n\u00e9gligeables mais ils pensent quand m\u00eame que TeslaCrypt rapporte des fonds \u00e0 CryptoLocker.<\/p>\n

\n

#CryptoLocker<\/a> Variant Coming After Gamers \u2013 https:\/\/t.co\/PpCEfk5bbL<\/a><\/p>\n

\u2014 Threatpost (@threatpost) March 12, 2015<\/a><\/p><\/blockquote>\n