Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede pierre » 24 Déc 2015, 09:25

Alerte Cryptoware TeslaCrypt (en Version 8 depuis le 02.12.15)

TeslaCrypt


Version initiale de l'alerte
21 décembre 2015

Ajout de marqueurs supplémentaires ;
31 décembre 2015

Mise à jour des mesures réactives ;
15 janvier 2016

Clôture de l'alerte ;
10 mars 2016


Alerte du Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

1 - Risque(s)
Installation d'un logiciel malveillant de type TeslaCrypt.
Il s'agit d'un Cryptoware
C'est une attaque dans laquelle il n'y a aucune présence d'un attaquant dans l'ordinateur de la victime et il n'y a pas de solution de décontamination.
L'attaque se traduit par le chiffrement de tous les fichiers de données de l'utilisateur qui doit ensuite payer une rançon, dans les jours qui suivent, pour acheter la clé de déchiffrement.
S'il ne paye pas, la clé de déchiffrement est détruite et même le cybercriminel ne pourra déchiffrer les fichiers cryptés.


2 - Systèmes affectés
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

3 - Résumé
Depuis le début du mois de décembre 2015, et plus massivement depuis la mi-décembre 2015, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel de type Cryptoware appelé TeslaCrypt.
Il s'agit d'une nouvelle version de ce Cryptoware, la version 8. Les premières versions de TeslaCrypt sont apparues fin février 2015.

Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas de TeslaCrypt, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.

Dans le cadre de cette campagne, et d'après les échantillons que le CERT-FR a observés, la diffusion de TeslaCrypt s'effectue par l'intermédiaire d'un pourriel dans lequel se trouve une pièce jointe au format zip. Cette archive contient un fichier offusqué au format js (javascript) dont l'objectif est la récupération puis l'exécution du malware. L'exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l'extension ".vvv".

Il est intéressant de noter que le binaire est jusqu'à présent composé de deux chiffres et de l'extension ".exe". Cette caractéristique peut permettre le blocage ou la mise en place d'alertes via les serveurs mandataires.

À l'aide les échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire TeslaCrypt sont les suivantes (toutes les URLs suivantes ont été démilitarisées par l'adjonction du suffixe ._BAD_ aux noms de domaines et adresses IP) :

http://5.39.222.193_BAD_/73.exe
http://46.151.52.196_BAD_/80.exe
http://46.151.52.196_BAD_/86.exe
http://46.151.52.197_BAD_/73.exe
http://46.151.52.197_BAD_/80.exe
http://46.151.52.197_BAD_/85.exe
http://46.151.52.197_BAD_/86.exe
http://46.151.52.231_BAD_/87.exe
http://74.117.183.84_BAD_/73.exe
http://777advisors.com_BAD_/85.exe
http://aawraa.com_BAD_/wp-includes/theme-compat/73.exe
http://abortoptions.com_BAD_/wp-include ... ies/85.exe
http://aboutacquisitions.com_BAD_/wp-in ... pat/85.exe
http://acabadosintegrales.com_BAD_/wp-i ... ent/73.exe
http://achesoncorner.com_BAD_/wp-includes/fonts/73.exe
http://acsbrokerage.com_BAD_/css/fonts/ ... ces/85.exe
http://actuvillage.com_BAD_/images/thumbs/73.exe
http://areyouwevenlisten.com_BAD_/73.exe
http://artskorat.com_BAD_/html/images/80.exe
http://auctorit.com_BAD_/beta/js/73.exe
http://aycenergy.com_BAD_/wp/wp-includes/fonts/80.exe
http://autocraftmedia.com_BAD_/mappalachian/tmp/73.exe
http://baneyconstruction.com_BAD_/kldf/ ... c61/73.exe
http://bauelementeberater.info_BAD_/73.exe
http://beatifulgdf9dr.com_BAD_/73.exe
http://bellychef.com_BAD_/wp-includes/t ... pat/73.exe
http://bereanbibledenver.com_BAD_/wp-admin/js/73.exe
http://bestsurfinglessons.com_BAD_/wp-i ... pat/73.exe
http://betterhealth4us.com_BAD_/wp-incl ... nts/73.exe
http://bfcaterers.com_BAD_/wp-includes/ ... tes/73.exe
http://fernytowd.com_BAD_/73.exe
http://firstwetakemanhat.com_BAD_/80.exe
http://firstwetakemanhat.com_BAD_/91.exe
http://gammus.com_BAD_/69.exe
http://gammus.com_BAD_/73.exe
http://hopemillsglassco.com_BAD_/wp-inc ... nts/85.exe
http://iamthewinnerhere.com_BAD_/73.exe
http://iamthewinnerhere.com_BAD_/80.exe
http://iamthewinnerhere.com_BAD_/97.exe
http://ifyougowegotoo.com_BAD_/90.exe
http://ifyougowegotoo.com_BAD_/94.exe
http://miracleworld1.com_BAD_/80.exe
http://miracleworld1.com_BAD_/91.exe
http://prestakitchen.com_BAD_/wp-includes/pomo/85.exe
http://soft2webextrain.com_BAD_/87.exe
http://softextrain64.com_BAD_/80.exe
http://softextrain64.com_BAD_/86.exe
http://washawaydesctrucion.com_BAD_/90.exe
http://whatdidyaysay.com_BAD_/73.exe
http://whatdidyaysay.com_BAD_/80.exe
http://whatdidyaysay.com_BAD_/97.exe

4 - Contournement provisoire
Mesures préventives
Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.

Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :

Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
OSDRIVE\Users\*\AppData\
OSDRIVE\Windows\Temp\

Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
UserProfile\AppData
SystemRoot\Temp

Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.

Le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.

Enfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.

Mesures réactives
Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste et la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.

Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.

Cette alerte sera maintenue tant que le volume de message électronique constaté sera considéré significatif par le CERT-FR.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24840
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede pierre » 24 Déc 2015, 11:43

Attention - Arnaques !

Ces centaines de sites prétendus de décontamination, qui ne sont que des nébuleuses de sites satellites de mauvais anti-malwares incapables de se vendre sans la peur et le mensonge, prétendent pouvoir faire quelque chose contre le TeslaCrypt.

NE FAITES RIEN - N'ACHETEZ RIEN - IL N'Y A PAS DE SOLUTION (sauf à payer la rançon).
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24840
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede pierre » 24 Déc 2015, 14:27

Vague d'attaques avec le Cryptoware irréversible TeslaCrypt

Depuis le début du mois de décembre 2015, et plus massivement depuis la mi-décembre 2015, on constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du Rançongiciel (logiciels de demande de rançon), et, plus précisément, de type Cryptoware (logiciel de chiffrement (cryptographie) avec demande de rançon), appelé TeslaCrypt.

Ce type d'attaques (chiffrement des fichiers avec suffixe devenant .vvv et demande de rançon) ne relève absolument pas d'un virus dans la machine de la victime.

Il n'y a rien dans la machine de la victime. Tout se passe sur une machine dite C&C (Command and Control) d'un cybercriminel et on ne peut remonter à lui puisqu'il est derrière une couche réseau appelée TOR qui le rend indétectable.

Ne cherchez pas à décontaminer, vous risqueriez de rendre de déchiffrement impossible.

Il s'agit d'une nouvelle version de ce Cryptoware, la version 8. Les premières versions de TeslaCrypt sont apparues fin février 2015.

Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas de TeslaCrypt, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.

Dans le cadre de cette campagne, et d'après les échantillons observés, la diffusion de TeslaCrypt s'effectue par l'intermédiaire d'un pourriel dans lequel se trouve une pièce jointe au format zip. Cette archive contient un fichier offusqué au format js (javascript) dont l'objectif est la récupération puis l'exécution du malware. L'exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l'extension ".vvv".

Il est intéressant de noter que le binaire est jusqu'à présent composé de deux chiffres et de l'extension ".exe". Cette caractéristique peut permettre le blocage ou la mise en place d'alertes via les serveurs mandataires.

Il n'y a que trois solutions :

  1. Si les fichiers font l'objet d'une sauvegarde, il faudra repartir de la sauvegarde de ces fichiers.

  2. Si les fichiers ne sont pas vitaux, ils faut les considérer comme définitivement perdus (en garder une copie pour le cas ou, un jour, un outil gratuit sera écrit. Il y a très peu de chance).

  3. Si les fichiers ne sont pas sauvegardés et qu'ils sont vitaux, il n'y a pas d'autre solution que de payer la rançon au cybercriminel et de faire le jeu des cybercriminels. Il faut alors payer dans les 2 ou 3 jours (cela est écrit dans le message affiché par le cybercriminel). Il ne faut surtout pas attendre la fin des fêtes. Passé ce délais, le cybercriminel détruit la clé de déchiffrement et il ne sera plus possible, même au cybercriminel, de déchiffrer les fichiers qui seront définitivement perdus.


Lire l'alerte suivante et les conseils qui y sont donnés.
Alerte par le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques - Gouvernement français - Premier Ministre
ANSSI - Agence Nationale de la Sécurité des Systèmes d'Information

Alerte Cryptoware TeslaCrypt (en Version 8 depuis le 02.12.15)

Lire également l'article TeslaCrypt.


Comment on se fait infecter
L'attaque provient d'une action de l'utilisateur / victime (ouverture d'une pièce jointe dans un eMail).
ou
Exploitation d'une faille de sécurité (toujours tout maintenir à jour dont les technologies les plus répandues, donc les plus ciblées par les cybercriminels).


Attention - Arnaques !

Des centaines de sites prétendus de décontamination, qui ne sont que des nébuleuses de sites satellites de mauvais anti-malwares incapables de se vendre sans la peur et le mensonge, prétendent pouvoir faire quelque chose contre TeslaCrypt.

NE FAITES RIEN - N'ACHETEZ RIEN - IL N'Y A PAS DE SOLUTION (sauf à payer la rançon).


Cordialement

________________________________________________________________________________________________________________________________________

Vous souhaitez propager l'alerte ?
Vous pouvez recopier le texte ci-dessus sur un forum acceptant les "textes enrichis" en entrée.
Si vous souhaitez reproduire cette alerte sur un forum utilisant le code phpBB, recopiez le code ci-après.

Code: Tout sélectionner
[size=150][b][u]Vague d'attaques avec le [url=http://assiste.com/Cryptoware.html][color=blue]Cryptoware[/color][/url] irréversible [url=http://assiste.com/TeslaCrypt.html][color=blue]TeslaCrypt[/color][/url][/u][/b][/size]

Depuis le début du mois de décembre 2015, et plus massivement depuis la mi-décembre 2015, on constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du [url=http://assiste.com/Ransomware.html][b][color=blue]Rançongiciel[/color][/b][/url] de type [url=http://assiste.com/Cryptoware.html][b][color=blue]Cryptoware[/color][/b][/url] appelé [url=http://assiste.com/TeslaCrypt.html][b][color=blue]TeslaCrypt[/color][/b][/url].

Ce type d'attaques (chiffrement des fichiers avec suffixe devenant .vvv et demande de rançon) ne relève absolument pas d'un virus dans la machine de la victime.

Il n'y a rien dans la machine de la victime. Tout se passe sur une machine dite C&C (Command and Control) d'un cybercriminel et on ne peut remonter à lui puisqu'il est derrière une couche réseau appelée TOR qui le rend indétectable.

Ne cherchez pas à décontaminer, vous risqueriez de rendre de déchiffrement impossible.

L'attaque est celle d'un [url=http://assiste.com/Ransomware.html][b][color=blue]Ransomware[/color][/b][/url] (logiciels de demande de rançon), et, plus précisément, d'un [url=http://assiste.com/Cryptoware.html][b][color=blue]Cryptoware[/color][/b][/url] (logiciel de chiffrement (cryptographie) avec demande de rançon). Il n'y a que trois solutions :

[list=1][*]Si les fichiers font l'objet d'une sauvegarde, il faudra repartir de la sauvegarde de ces fichiers.


[*]Si les fichiers ne sont pas vitaux, ils faut les considérer comme définitivement perdus (en garder une copie pour le cas ou, un jour, un outil gratuit sera écrit. Il y a très peu de chance).


[*]Si les fichiers ne sont pas sauvegardés et qu'ils sont vitaux, il n'y a pas d'autre solution que de payer la rançon au cybercriminel et de faire le jeu des cybercriminels. Il faut alors payer dans les 2 ou 3 jours (cela est écrit dans le message affiché par le cybercriminel). Il ne faut surtout pas attendre la fin des fêtes. Passé ce délais, le cybercriminel détruit la clé de déchiffrement et il ne sera plus possible, même au cybercriminel, de déchiffrer les fichiers qui seront définitivement perdus.[/list]


[size=150][b]Lire l'alerte suivante et les conseils qui y sont donnés.[/b][/size]
[b][color=#FF0000]Alerte par le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques - Gouvernement français - Premier Ministre
ANSSI - Agence Nationale de la Sécurité des Systèmes d'Information[/color][/b]
[url=http://assiste.forum.free.fr/viewtopic.php?f=173&t=30317][b][color=blue]Alerte Cryptoware TeslaCrypt (en Version 8 depuis le 02.12.15)[/color][/b][/url]

Lire également l'article [url=http://assiste.com/TeslaCrypt.html][b][color=blue]TeslaCrypt[/color][/b][/url].


[size=150][b]Comment on se fait infecter[/b][/size]
L'attaque provient d'une action de l'utilisateur / victime (ouverture d'une pièce jointe dans un eMail).
ou
[url=http://assiste.com/Exploit.html][b][color=blue]Exploitation d'une faille de sécurité[/color][/b][/url] (toujours tout maintenir à jour dont les technologies les plus répandues, donc les plus ciblées par les cybercriminels).


[size=150][b]Attention - Arnaques ![/b][/size]

Des centaines de sites prétendus de décontamination, qui ne sont que des nébuleuses de sites satellites de mauvais anti-malwares incapables de se vendre sans la peur et le mensonge, prétendent pouvoir faire quelque chose contre TeslaCrypt.

[size=150][b][color=#FF0000]NE FAITES RIEN - N'ACHETEZ RIEN - IL N'Y A PAS DE SOLUTION[/color][/b][/size] (sauf à payer la rançon).
 

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24840
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede devadip » 25 Déc 2015, 16:50

bonjour
ce site dit qu'il y a un "décrypteur" pour TeslaCrypt :https://github.com/googulator/teslacrack
devadip
 
Messages: 89
Inscription: 28 Mai 2007, 10:24

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede pierre » 25 Déc 2015, 18:03

Bonjour Devadip,

Merci

J'ai vu cela, mais il s'agit de récupérer du code Python, de coller ce code sur un serveur offrant Python, d'exécuter ce code Python sur le serveur après avoir remonté un fichier chiffré de manière à tenter de reconstruire la clé de déchiffrement, puis de lancer un autre programme Python, toujours sur le serveur, etc. ...

Il faudrait, si cela est fonctionnel, ce qui n'est pas confirmé par des autorités, que des Webmasters ayant des hébergements sur des serveurs avec Python, en fasse un service gratuit en ligne.

Je ne vois pas l'utilisateur " normal " utiliser cx_Freeze pour installer Python sur une machine Windows, faire de la compilation, de l'édition des liens, etc. ... et l'utilisateur " normal " ne se balade pas dans un serveur comme s'il était chez lui.

PS : pour ceux qui ne la savent pas (et, normalement, mis à part quelques développeurs, personne ne sait ce que c'est, ni même que cela existe), Python est un langage de programmation.

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24840
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede devadip » 26 Déc 2015, 17:09

bonjour
malekal, sur son site teste le décrypteur (http://forum.malekal.com/recuperation-fichiers-vvv-ransomware-teslacrypt-t53866.html) si ça intéresse quelqu'un
devadip
 
Messages: 89
Inscription: 28 Mai 2007, 10:24

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede D'Artilier » 03 Jan 2016, 13:29



Utilisateur banni
Adresse mail bannie


L'utilisateur a posté son message depuis une adresse IP située en Lituanie

Message supprimé

1/ Fait l'apologie d'un outil crapuleux faisant l'objet de plaintes collectives (class action)
2/ Cet outil est identifié comme tel dans nos pages depuis 10 ans au moins
3/ L'outil en question est totalement incapable de décrypter les fichiers cryptés par TeslaCrypt - il ne peut que supprimer la malveillance TeslaCrypt (et encore, nous ne l'avons pas vérifié)
4/ L'outil en question ne traite que de la version 2 de la malveillance en question (vérifié le 2/2/2016 sur plus de 40 de ses sites satellites), alors que nous en sommes à la version 8 qu'il ignore totalement.

Le mensonge et l'escroquerie sont inadmissibles ! Cette tentative d'escroquer nos visiteurs et utilisateurs est inadmissible !

Afin que nul ne l'ignore : j'ai actuellement les avocats de cette escroquerie sur le dos depuis le 30 octobre 2015.

Est classé à "Usurpation de fonctionnalité (rogues)" dans Wikipedia
https://fr.wikipedia.org/wiki/Liste_de_ ... ls_espions

SpyHunter 4, a computer program that's advertised as a free anti virus program at some internet sites and as a potential malware at other sites.
https://en.wikipedia.org/wiki/Spy_Hunte ... guation%29

Ressource :
http://www.complaintsboard.com/complain ... 62520.html

Pierre
Dernière édition par D'Artilier le 04 Jan 2016, 10:15, édité 1 fois.
D'Artilier
 
Messages: 1
Inscription: 03 Jan 2016, 13:20

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede nickW » 03 Jan 2016, 14:28

Bonjour,

Encore une pub pour SpyHunter!

Ne pas utiliser SpyHunter! (payant, nombreux faux positifs, ...)

http://assiste.com/Craptheque/spyhunter.html

http://www.commentcamarche.net/faq/3702 ... sinfection

http://www.bleepingcomputer.com/forums/ ... try3491488

Salut.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede pierre » 04 Jan 2016, 10:58

Bonjour,

Il faut admirer la " prudence " de langage de SpyHunter qui dit, dans sa nébuleuse de sites satellites, sans jamais s'engager (ils pensent probablement, ainsi, ne pas être poursuivables (c'est français, ça ?) en justice).

2-viruses.com
Spyhunter trial provides detection of parasite like TeslaCrypt and assists in its removal for free. You can remove detected files, processes and registry entries yourself or purchase a full version.


et les magnifiques traductions automatiques dans 22 langues dont, par exemple, en français : supprimer-spyware.com
le procès Spyhunter de détection permet de parasite comme TeslaCrypt et contribue à son retrait pour libre.Vous pouvez supprimer les fichiers détectés, processus et entrées de registre vous-même ou acheter une version complète.


Etc. ... sur des dizaines de sites opérés par EnigmaSoftware, l'auteur de SpyHunter.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24840
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte Cryptoware TeslaCrypt (en V 8 depuis le 02.12.15)

Messagede pierre » 05 Jan 2016, 13:33

Bonjour,

Puisque le message viewtopic.php?f=173&t=30317&p=170862#p170862, modéré par nickW, a été restauré par son auteur, j'ai banni l'auteur et son adresse mail.
J'ai également édité le message viewtopic.php?f=173&t=30317&p=170862#p170862 (entièrement remplacé) pour informer les visiteurs.

Cette polémique est hors sujet dans ce fil de discussion.

J'ajoute que le lien vers les forums de Malekal, indiqué par Devadip ( viewtopic.php?p=170805#p170805 ) conduit à une solution de déchiffrement réelle des fichiers chiffrés avec TeslaCrypt (attention : l'auteur de l'outil de déchiffrement (un open source sur GitHub) précise de sauvegarder les fichiers chiffrés avant de les déchiffrer car cela ne fonctionne pas dans tous les cas or son outil produit un fichier déchiffré et détruit la version chiffrée, ce qui peut conduire à une perte définitive des fichiers si le déchiffrement est erroné).

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24840
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Suivante

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités