Sécurité

TeslaCrypt / Alpha Crypt : Your personnal files are encrypted!

Après Samuel qui vous a parlé de SuperCrypt, c’est à moi de vous faire part de mon expérience avec cette fois AlphaCrypt.

Quel bonheur ce matin d’apprendre qu’un de mes utilisateurs a chopé un virus… Jusque là, rien de trop inquiétant c’est des choses qui arrive (heureusement, c’est assez rare).

La personne m’appelle, elle me signale avoir tous ses fichiers cryptés et cette fenêtre :

TeslaCrypt

Your personal files are encrypted!

Your files have been safely encrypted on this PC: photos, videos, documents, ect. Click « Show encrypted files » Button to view a complete list of encrypted files, and you can personnaly verify this. Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key. […]

Bon… forcément, je commence à me dire que ça sent mauvais. La première chose à faire est de débrancher la machine du réseau. Toujours, et quelques soit le type d’infection, il faut toujours isoler la machine infectée du réseau.

Et heureusement que j’ai eu cette réaction, car quelques minutes plus tard, c’est pas moins d’une vingtaine d’utilisateurs qui m’appelle car des fichiers sur le réseau sont renommés avec l’extension *.ezz (On apprendra un peu plus tard que TeslaCrypt, crypte les fichiers puis les renommes en *.ecc, et que la variante qui nous a touchés est Alpha Crypt et qu’elle renomme les fichiers en *.ezz).

Je commence à bien flipper, car au moment ou j’apprends ça, je ne sais pas encore si le ransomware s’est propagé ou pas. Après vérification, seul un ordinateur était infecté, mais il a eu le temps de crypter et renommer plus de 3000 fichiers sur le réseau. D’où l’importance de tout de suite isoler l’ordinateur du réseau. Le ransomware a utilisé les lecteurs réseau connectés à la machine pour commencer à crypter les fichiers sur le réseau.

On se retrouve avec dans chaque dossier un fichier HELP_TO_SAVE_FILES.txt avec ce type de contenu :

All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open in your browser one of the links:
http://is6xsotjdy4qtgur.afnwdsy4j32.com
http://is6xsotjdy4qtgur.9isernvur33.com
https://is6xsotjdy4qtgur.tor2web.blutmagie.de
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
1Fyf1vz34ZBqRkwGrvyjbJBDeJEaM9ZHHE
Follow the instructions on the server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://is6xsotjdy4qtgur.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
1Fyf1vz34ZBqRkwGrvyjbJBDeJEaM9ZHHE
Follow the instructions on the server.

Les fichiers créer par Alpha Crypt :

La clé de registre créé par Alpha Crypt

Quoi qu’il en soit, je me retrouve avec une machine infectée, et quelques milliers de fichiers crypté. Fort heureusement, l’archive mail n’est pas crypter, j’ai déjà pu récupérer ça sur le poste de l’utilisateur… et pourtant, c’est censé crypter même les fichiers pst, puisque voici la liste des types de fichiers que le ransomware est capable de chiffrer :

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Ce virus arrive par mail ou via des sites web (dans le cas de mon utilisateur, d’après les logs, ce serait sur un site de streaming depuis son domicile…), il n’y a pour le moment par trop de solutions pour s’en prémunir. Si ce n’est de faire très attention aux pièces jointes que vous ouvrez, ainsi qu’aux sites sur lesquels vous naviguez. La base quoi !

Du coup, pour le moment, pour récupérer ses données voici ce qu’il est possible de faire :

  • Restaurer un backup (c’est ce que j’ai fait pour les fichiers du réseau)
  • Payer la rançon demandée via le réseau Tor…
  • Ou utiliser le petit outil créé par les petits gars de chez Cisco.

Effectivement, on peut trouver un outil qui permet de déchiffrer les fichiers de la première version « TeslaCrypt« . Vous trouverez ici l’outil en question :

http://blogs.cisco.com/security/talos/teslacrypt

Pour le moment cela ne fonctionne pas encore avec la version « Alpha Crypt« , mais ils travaillent dessus…

Voici quelques liens qui peuvent vous être utiles :

 

 

Étiquettes

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 chez homeinformatique. Je partage mes connaissances, problèmes et solutions a travers articles ou tweets !
Fermer
Fermer