{"id":4683,"date":"2015-07-14T10:23:07","date_gmt":"2015-07-14T10:23:07","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=4683"},"modified":"2019-11-22T09:17:13","modified_gmt":"2019-11-22T09:17:13","slug":"teslacrypt-20-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/teslacrypt-20-ransomware\/4683\/","title":{"rendered":"Le ransomware TeslaCrypt 2.0: de plus en plus \u00e9labor\u00e9 et dangereux"},"content":{"rendered":"<p>Les pirates informatiques apprennent les uns des autres. Prenons par exemple\u00a0 TeslaCrypt. C\u2019est une famille de ransomwares relativement nouvelle\u00a0: ses \u00e9chantillons ont \u00e9t\u00e9 d\u00e9couverts en F\u00e9vrier 2015. La caract\u00e9ristique principale des versions initiales de TeslaCrypt est que <a href=\"https:\/\/www.kaspersky.fr\/blog\/ransomware-teslacrypt-jeux-en-ligne\/4383\/\" target=\"_blank\" rel=\"noopener\">ce malware ne cible pas seulement les fichiers habituels, tels que les documents, les photos et les vid\u00e9os, mais aussi les fichiers en relation avec les jeux en ligne.<\/a> \u00c0 l\u2019\u00e9poque, ce malware \u00e9tait peu sophistiqu\u00e9 car il poss\u00e9dait quelques d\u00e9fauts techniques.<\/p>\n<p>Malgr\u00e9 le fait que les cr\u00e9ateurs du malware ont fait peur \u00e0 leurs victimes avec l\u2019horrible algorithme RSA-2048, en r\u00e9alit\u00e9, le chiffrement n\u2019\u00e9tait pas \u00e9labor\u00e9. De plus, pendant le processus de chiffrement, le malware stockait les cl\u00e9s de chiffrement dans un fichier sur le disque dur de l\u2019ordinateur de la victime. Elle pouvait ainsi sauver la cl\u00e9\u00a0: elle devait juste interrompre l\u2019op\u00e9ration de chiffrement ou extraire la cl\u00e9 avant que l\u2019espace cibl\u00e9 du disque ne soit \u00e9cras\u00e9 par le nouveau programme.<\/p>\n<p>Toutefois, comme nous l\u2019avons mentionn\u00e9 auparavant, les criminels sont en train d\u2019apprendre. Dans la <a href=\"https:\/\/securelist.com\/blog\/research\/71371\/teslacrypt-2-0-disguised-as-cryptowall\/\" target=\"_blank\" rel=\"noopener\">derni\u00e8re version de TeslaCrypt 2.0, d\u00e9couverte r\u00e9cemment par les chercheurs de Kaspersky Lab<\/a>, les cr\u00e9ateurs du malware ont impl\u00e9ment\u00e9 de nouvelles caract\u00e9ristiques qui emp\u00eachent le d\u00e9chiffrement des fichiers vol\u00e9s ainsi que la d\u00e9couverte des serveurs de commande et de contr\u00f4le du malware.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">The best line of <a href=\"https:\/\/twitter.com\/hashtag\/defense?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#defense<\/a> against any <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> is to have backed up your machines yesterday. <a href=\"https:\/\/t.co\/cpcBqX1Qy2\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/cpcBqX1Qy2<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/560984613708136448?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Tout d\u2019abord, gr\u00e2ce aux cr\u00e9ateurs du c\u00e9l\u00e8bre et p\u00e9nible ransomware CBT-Locker, ils ont adopt\u00e9 un algorithme sophistiqu\u00e9 de chiffrement en courbe elliptique. Deuxi\u00e8mement, ils ont chang\u00e9 la m\u00e9thode de stockage\u00a0: ils utilisent maintenant le registre du syst\u00e8me au lieu d\u2019un fichier sur le disque.<\/p>\n<p>Troisi\u00e8mement, le cr\u00e9ateur de TeslaCrypt a vol\u00e9 les pages Internet que les victimes consultent apr\u00e8s que leurs fichiers aient \u00e9t\u00e9 chiffr\u00e9s par Cryptowall, un autre membre de la famille des ransomwares. Evidemment, toutes les r\u00e9f\u00e9rences de paiement sont chang\u00e9es, mais le reste du texte, qui est tr\u00e8s efficace d\u2019un point de vue \u00a0\u00bb\u00a0commercial\u00a0\u00a0\u00bb\u00a0, est enti\u00e8rement copi\u00e9. D\u2019ailleurs, la ran\u00e7on est plut\u00f4t \u00e9lev\u00e9e\u00a0: environ 450 euros selon le taux de change actuel de Bitcoin.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2015\/07\/06095605\/tesla_crypt_en_3.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-4685\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2015\/07\/06095605\/tesla_crypt_en_3.png\" alt=\"tesla_crypt_en_3\" width=\"947\" height=\"903\"><\/a><\/p>\n<p>Les malwares de la famille de TeslaCrypt sont connus pour \u00eatre diffus\u00e9s en utilisant des kits d\u2019exploit tel qu\u2019Angler, Sweet Orange et Nuclear. Cette m\u00e9thode de diffusion des malwares fonctionne de la mani\u00e8re suivante\u00a0: lorsqu\u2019une victime visite un site internet infect\u00e9, un code malveillant d\u2019exploit utilise les vuln\u00e9rabilit\u00e9s du navigateur (g\u00e9n\u00e9ralement sous forme de plugins) afin d\u2019installer le malware cible dans le syst\u00e8me.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Le #ransomware #TeslaCrypt 2.0 : de plus en plus \u00e9labor\u00e9 et compliqu\u00e9<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FJF7W&amp;text=Le+%23ransomware+%23TeslaCrypt+2.0+%3A+de+plus+en+plus+%C3%A9labor%C3%A9+et+compliqu%C3%A9\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Les pays les plus touch\u00e9s sont les \u00c9tats-Unis, l\u2019Allemagne, le Royaume-Uni, la France, l\u2019Italie et l\u2019Espagne. Les produits du Kaspersky Lab peuvent d\u00e9tecter les malwares de la famille de TeslaCrypt, ainsi que la derni\u00e8re version mentionn\u00e9e auparavant tel que le Trojan-Ransom.Win32.Bitman. De cette mani\u00e8re, nos utilisateurs ne sont pas en danger.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2015\/07\/06095601\/tesla_crypt_en_12-1024x549.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-4686\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2015\/07\/06095601\/tesla_crypt_en_12-1024x549.png\" alt=\"tesla_crypt_en_12\" width=\"1256\" height=\"673\"><\/a><\/p>\n<p>\u00a0<\/p>\n<p>Voici quelques recommandations pour contrer ces malwares ainsi que toute autre famille de ransomwares\u00a0:<\/p>\n<p>\u00a0<\/p>\n<ol>\n<li>Cr\u00e9er r\u00e9guli\u00e8rement des copies de sauvegarde de tous vos fichiers importants. Les copies devraient \u00eatre gard\u00e9es sur un support qui se d\u00e9branche manuellement et imm\u00e9diatement apr\u00e8s que la sauvegarde ait \u00e9t\u00e9 effectu\u00e9e. Cette derni\u00e8re partie est importante car TeslaCrypt, ainsi que d\u2019autres types de malwares, peuvent chiffrer des appareils connect\u00e9s, des dossiers de r\u00e9seau ainsi que le disque dur local.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li>Il est essential d\u2019actualiser votre logiciel en temps opportun, surtout votre navigateur Web et ses plugins.<\/li>\n<\/ol>\n<ol start=\"3\">\n<li>Dans le cas o\u00f9 un programme malveillant infecterait votre syst\u00e8me, un logiciel de s\u00e9curit\u00e9 dont les bases de donn\u00e9es et les modules de s\u00e9curit\u00e9 ont \u00e9t\u00e9 mis \u00e0 jours sera la meilleure solution pour vous prot\u00e9ger.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>La famille de ransomwares TeslaCrypt est connue pour cibler des fichiers en relation avec des jeux en ligne, ainsi que les documents habituels, les photos, etc. Sa nouvelle version est devenue encore plus dangereuse. <\/p>\n","protected":false},"author":421,"featured_media":4684,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[849,1161,1160,1125,155,353,1069],"class_list":{"0":"post-4683","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-anti-malware","10":"tag-cryptowall","11":"tag-cryptoware","12":"tag-ctb-locker","13":"tag-malware-2","14":"tag-ransomware","15":"tag-teslacrypt"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/teslacrypt-20-ransomware\/4683\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/teslacrypt-20-ransomware\/5616\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/teslacrypt-20-ransomware\/5987\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/teslacrypt-20-ransomware\/5771\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/teslacrypt-20-ransomware\/6431\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/teslacrypt-20-ransomware\/6316\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/teslacrypt-20-ransomware\/8336\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/teslacrypt-20-ransomware\/9314\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/teslacrypt-20-ransomware\/5525\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/teslacrypt-20-ransomware\/5802\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/teslacrypt-20-ransomware\/8205\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/teslacrypt-20-ransomware\/8336\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/teslacrypt-20-ransomware\/9314\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/teslacrypt-20-ransomware\/9314\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/anti-malware\/","name":"anti-malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=4683"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4683\/revisions"}],"predecessor-version":[{"id":13114,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4683\/revisions\/13114"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/4684"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=4683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=4683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=4683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}