how_recover : TeslaCrypt extension .vvv
Les campagnes du ransomware TeslaCrypt continuent de faire des ravages.
TeslaCrypt est un ransomware qui existe depuis quelques mois. Différents noms utilisées au début (AlphaCrypt etc), les premières versions, comme souvent étaient buggués et un décrypteur était disponible, bien entendu, les versions futurs du ransomware ont corrigé ce bug et le décrypteur ne fonctionne plus.
Comme c’est le cas des ransomwares professionels actuellement, il n’y a malheureusement pas de moyen de récupérer les documents chiffrés.
Notre dossier sur les ransomwares : ransomwares chiffreurs de fichiers.
Aujourd’hui encore, sur le forum CommentCamarche, beaucoup de sujets relatif à ce ransomware TeslaCrypt ou des internautes se plaignent que l’extension de leurs documents ont été modifié en .vvv :
image: http://www.malekal.com/wp-content/uploads/ransomware_teslacrypt_extension_vvv.png
Le 3 Décembre sur le forum, des sujets similaires :
image: http://www.malekal.com/fichiers/forum/Trojan_JS_email_malicieux_8.png
La campagne avait surtout lieu par mail avec au départ des zips contenant un JS/Downloader qui télécharge et exécute le dropper TeslaCrypt :
image: http://www.malekal.com/fichiers/forum/TeslaCrypt_Campagne_mail_JS.png
et parfois quelques emails avec des Word malicieux, qui avec une macro malicieuse, télécharge aussi le ransomware sur l’ordinateur.
image: http://forum.malekal.com/download/file.php?id=11211&t=1
Contrairement aux campagnes de mails malicieux Dridex qui ont lieu en langue française et qui reprennent des mails de sociétés existantes, tous les mails de la campagne TeslaCrypt sont en anglais.
En 2015 donc, des mails malicieux en anglais, fonctionnent encore.
Une remarque, Avast! semble en détecter pas mal, Microsoft Security Essentials est à la rue, comme c’est souvent le cas : http://forum.malekal.com/teslacrypt-ransomware-fichiers-extensions-ccc-vvv-t53347.html#p410436
Eset a publié une note concernant ces campagnes de Mails malicieuse JavaScript, l’Espagne et l’Italie sont très fortement touché en Europe.
Dans le monde, c’est le Japon est qui largement devant.
La campagne a pu représenter plus de 10% des détections au pic de celle-ci.
image: http://forum.malekal.com/download/file.php?id=11216&t=1
image: http://forum.malekal.com/download/file.php?id=11217&mode=view
Il semblerait qu’il y est un ralentissement de ces campagnes de mails malicieux.
Cependant les demandes de désinfections ne fléchissant pas, on peut se demander si une autre campagne avec un autre vecteur n’a pas lieu, notamment par des WEB Exploits.
D’ailleurs sur certains sujets, on trouve du Win32.Boaxxe.
Le gros problème avec les ransomwares est le même que pour les « stealer ».
Pas besoin de rester des heures ou des jours sur l’ordinateur pour être efficaces, comme c’est le cas des botnets ou Spambot.
Pour le ransomware, il suffit de rester 5 minutes sur l’ordinateur pour chiffrer tous les documents et le mal est fait.
Dès lors, laps de temps entre le moment où le dropper n’est pas détecté et l’antivirus le détecte permet de toucher beaucoup d’ordinateurs.
Bref ces campagnes risquent de perdurer encore quelques semaines.
Au départ, c’était .ccc – dans le fil du temps, l’extension changera.
Un fichier how_recover+xxx contenant les instructions de paiements est ensuite créé dans divers format : images, HTML et texte.
Au départ le nom des fichiers d’instructions étaient howto_recover_file_xxxx.txt
Le fichier des instructions peut éventuellement changer encore dans le temps.
En outre le malware peut scanner les lecteurs réseaux et/ou partager pour toucher d’autres ordinateurs.
La version HTML est très ressemblante aux instructions de Cryptowall 3.0
image: http://www.supprimer-trojan.com/wp-content/uploads/TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES.png
image: http://www.supprimer-trojan.com/wp-content/uploads/TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES_3.png
image: http://www.malekal.com/fichiers/forum/TeslaCrypt_HOW_TO_RESTORE_FILES_demarrage.png
Il convient ensuite de supprimer tous les fichiers contenant les instructions, le plus simple est d’effectuer une recherche Windows.
Vous pouvez suivre les procédures de désinfections gratuites de ces deux sites :
Il y a de bon retours sur ce projet où certains utilisateurs ont réussi à récupérer des fichiers .vvv
Discussion : [TEST] récupération fichiers .vvv (ransomware teslacrypt)
Télécharger et installer :
De même pour Yafu.
Dans le dossier TeslaCrack-master, copiez-y un fichier PDF.vvv de votre choix.
Ouvrez une invite de commandes puis :
Notez la seconde clef aussi.
image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last.png
Lancez yafu-Win32.exe ou yafu-64bits.exe si vous êtes en 64bits
Saisir la commande factor(0x), soit donc mon cas :
image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last_2.png
image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last_2.png
Notez tous les factors retournés pour lancer la commande suivante en invite de commandes avec ne paramètre les P1, P2 P4, soit donc :
image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last_3.png
Editez le fichier teslacrack.py et la partie known_keys pour ajouter les clefs avec la syntaxe suivante :
image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last_4.png
Enregistrez les modifications puis lancez la commande :
Sinon c’est good !
Read more at http://www.malekal.com/how_recover-teslacrypt-extension-vvv/#lpUgwwd33YZmOYGI.99
TeslaCrypt est un ransomware qui existe depuis quelques mois. Différents noms utilisées au début (AlphaCrypt etc), les premières versions, comme souvent étaient buggués et un décrypteur était disponible, bien entendu, les versions futurs du ransomware ont corrigé ce bug et le décrypteur ne fonctionne plus.
Comme c’est le cas des ransomwares professionels actuellement, il n’y a malheureusement pas de moyen de récupérer les documents chiffrés.
Notre dossier sur les ransomwares : ransomwares chiffreurs de fichiers.
TeslaCrypt : une campagne virulente
Depuis environ début Décembre une campagne d’envergure a lieu et touche beaucoup d’internautes.Aujourd’hui encore, sur le forum CommentCamarche, beaucoup de sujets relatif à ce ransomware TeslaCrypt ou des internautes se plaignent que l’extension de leurs documents ont été modifié en .vvv :
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
Le 3 Décembre sur le forum, des sujets similaires :
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
La campagne avait surtout lieu par mail avec au départ des zips contenant un JS/Downloader qui télécharge et exécute le dropper TeslaCrypt :
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
et parfois quelques emails avec des Word malicieux, qui avec une macro malicieuse, télécharge aussi le ransomware sur l’ordinateur.
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
Contrairement aux campagnes de mails malicieux Dridex qui ont lieu en langue française et qui reprennent des mails de sociétés existantes, tous les mails de la campagne TeslaCrypt sont en anglais.
En 2015 donc, des mails malicieux en anglais, fonctionnent encore.
Une remarque, Avast! semble en détecter pas mal, Microsoft Security Essentials est à la rue, comme c’est souvent le cas : http://forum.malekal.com/teslacrypt-ransomware-fichiers-extensions-ccc-vvv-t53347.html#p410436
Eset a publié une note concernant ces campagnes de Mails malicieuse JavaScript, l’Espagne et l’Italie sont très fortement touché en Europe.
Dans le monde, c’est le Japon est qui largement devant.
La campagne a pu représenter plus de 10% des détections au pic de celle-ci.
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
Il semblerait qu’il y est un ralentissement de ces campagnes de mails malicieux.
Cependant les demandes de désinfections ne fléchissant pas, on peut se demander si une autre campagne avec un autre vecteur n’a pas lieu, notamment par des WEB Exploits.
D’ailleurs sur certains sujets, on trouve du Win32.Boaxxe.
HKU\S-1-5-21-4258560583-3047925665-718717340-1001\...\Run: [Ilpksoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Asus\AppData\Local\Ucmnmedia\clrdp09.dllD’ailleurs Malwarebytes Anti-Malware précise dans une actualité que le très renommé ExploitKit Angler EK charge du TeslaCrypt : https://blog.malwarebytes.org/exploits-2/2015/12/angler-ek-drops-ransomware-newexploit/
Le gros problème avec les ransomwares est le même que pour les « stealer ».
Pas besoin de rester des heures ou des jours sur l’ordinateur pour être efficaces, comme c’est le cas des botnets ou Spambot.
Pour le ransomware, il suffit de rester 5 minutes sur l’ordinateur pour chiffrer tous les documents et le mal est fait.
Dès lors, laps de temps entre le moment où le dropper n’est pas détecté et l’antivirus le détecte permet de toucher beaucoup d’ordinateurs.
Bref ces campagnes risquent de perdurer encore quelques semaines.
TeslaCrypt : les symptômes
L’extension des documents chiffrés est modifée en .vvvAu départ, c’était .ccc – dans le fil du temps, l’extension changera.
Un fichier how_recover+xxx contenant les instructions de paiements est ensuite créé dans divers format : images, HTML et texte.
Au départ le nom des fichiers d’instructions étaient howto_recover_file_xxxx.txt
Le fichier des instructions peut éventuellement changer encore dans le temps.
En outre le malware peut scanner les lecteurs réseaux et/ou partager pour toucher d’autres ordinateurs.
La version HTML est très ressemblante aux instructions de Cryptowall 3.0
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
TeslaCrypt : Désinfection
Vous devez désinfecter l’ordinateur pour vous assurer que le ransomware n’est plus actif, sinon tout nouveau document créés, copié etc sur l’ordinateur sera chiffré à son tour.Il convient ensuite de supprimer tous les fichiers contenant les instructions, le plus simple est d’effectuer une recherche Windows.
Vous pouvez suivre les procédures de désinfections gratuites de ces deux sites :
- Ransomware extension .vvv (supprimer-virus.com)
- Supprimer Ransomware documents extension .vvv (supprimer-trojan.com)
TeslaCrypt : Décrypter/Récupérer ses fichiers .vvv
Projet TeslaCrack : https://github.com/Googulator/TeslaCrackIl y a de bon retours sur ce projet où certains utilisateurs ont réussi à récupérer des fichiers .vvv
Discussion : [TEST] récupération fichiers .vvv (ransomware teslacrypt)
Télécharger et installer :
- Python 2.6 : https://www.python.org/ftp/python/2.6/python-2.6.msi
- PyCrypto (selon si architecture 32/64 bits) : http://www.voidspace.org.uk/python/modu … l#pycrypto
- Télécharger TeslaCrack : https://github.com/Googulator/TeslaCrack/archive/master.zip
- Télécharger Yafu : http://sourceforge.net/projects/yafu/files/latest/download
De même pour Yafu.
Dans le dossier TeslaCrack-master, copiez-y un fichier PDF.vvv de votre choix.
Ouvrez une invite de commandes puis :
cd %userprofile%\Desktop\TeslaCrack-master c:\python26\python teslacrack.pyVous obtenez deux clefs, nous allons cracker la première, soit donc dans mon cas 3B64C3CC2490EAEECB7EF4EE7CB3121B5009111C1C8441EBA09EF47AB22067D7F548C5285A67609A44645C3620CC850AC64CBA66D70B572F75135545FBE6B098
Notez la seconde clef aussi.
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
Lancez yafu-Win32.exe ou yafu-64bits.exe si vous êtes en 64bits
Saisir la commande factor(0x
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
Notez tous les factors retournés pour lancer la commande suivante en invite de commandes avec ne paramètre les P1, P2 P4, soit donc :
c:\python26\pythonunfactor.py FF.pdf.vvv 2 2 2 7 67 71 2003 26386049 226672639 16325076917178637 1453184024951089659063449 6460937283741885476341 6359318652181287449000922742134296455215475834544182026033571019197Une possible clef AES est alors retournée
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
Editez le fichier teslacrack.py et la partie known_keys pour ajouter les clefs avec la syntaxe suivante :
'3B64C3CC2490EAEECB7EF4EE7CB3121B5009111C1C8441EBA09EF47AB22067D7F548C5285A67609A44645C3620CC850AC64CBA66D70B572F75135545FBE6B098': b'\x59\x3b\xd2\x54\xba\x07\x06\x0d\x83\xf2\xdc\x9b\xfe\x05\x3e\x90\xe4\xce\x8d\xd2\x40\x9a\x02\xa9\x29\x5e\x4a\xd7\xea\x60\xaf\x54',
image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif | Click this bar to view the full image. |
Enregistrez les modifications puis lancez la commande :
c:\python26\python teslacrack.pySi vous avez un access denied, c’est pas bon, tentez alors de cracker la seconde clef.
Sinon c’est good !
Read more at http://www.malekal.com/how_recover-teslacrypt-extension-vvv/#lpUgwwd33YZmOYGI.99