Archives de catégorie : Bitcoin

Base de données, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, ransomware, Sauvegarde, Social engineering

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.

Banque, Bitcoin, Cybersécurité

15 000 dollars en bitcoins volés à la Nigerian Bitcoin exchange

La Nigerian Bitcoin exchange se fait voler 15 000 dollars en Bitcoins. Le PDG a suivi en temps réel la transaction sans pouvoir agir.

Le PDG de la Nigerian Bitcoin exchange, Ejezie Sunday, a perdu 15 000 dollars en bitcoins. Des pirates ont trouvé le moyen de mettre la main sur un transfert que le patron de la NBE n’a pu que constater, en temps réel.

Il explique à CoinTelegraph « Immédiatement, je remarque que l’opération [achat de 15 000 dollars en Bitcoins, était encore à confirmer. J’ai essayé par tous les moyens de contacter blockchain.info. Malheureusement, je n’ai reçu aucune réponse, ni une méthode pour arrêter la transaction. J’ai regardé, douloureusement, que la transaction soit confirmée et tous les fonds déplacé dans le portefeuille du pirate« .

Quelques heures plus tard, blockchain.info a répondu qu’il ne pouvait rien faire pour la Nigerian Bitcoin exchange.

Bitcoin, Chiffrement, cryptage, cryptolocker, Cybersécurité, Paiement en ligne, ransomware

Dridex : quand le ransomware se fait créatif

Ransomware – Récemment des chercheurs ont mis à jour une nouvelle campagne d’envergure impliquant le cheval de Troie Dridex, aux caractéristiques plutôt inhabituelles, mais entraînant l’envoi de millions de messages comme à l’accoutumée. Cette campagne induit trois méthodes différentes de distribution de la charge, afin de garantir une efficacité accrue.

La charge finale correspond au botnet 220 et les utilisateurs basés au Royaume-Uni sont ciblés, en particulier les banques. Des ramifications ont également été identifiées en Australie et en France. Alors que les individus ciblés et le botnet employé n’ont rien d’inédit, on ne peut pas en dire autant des méthodes appliquées par les pirates. Les messages envoyés dans le cadre de cette campagne incluent les éléments suivants : Des pièces jointes au format Word et Excel comportant des macros malveillantes ; des kits d’exploitation qui entraînent le téléchargement automatique de Dridex lorsque les documents malveillants sont ouverts sur des systèmes vulnérables (voir failles de sécurité CVE-2015-1641 et CVE-2012-0158) ; des pièces jointes JavaScript zippées semblant être des documents PDF. Cette nouvelle approche est sans précédent, bien qu’il soit toujours question du téléchargement de Dridex lorsqu’un utilisateur ouvre un fichier JavaScript.

Ransomware : chaque  courrier électronique se caractérise par une méthode différente.
Il est cependant toujours question d’une facture envoyée dans le cadre de la location de toilettes mobiles. Certains utilisateurs considéreront immédiatement de tels messages comme des spams (peu nombreuses sont les personnes à louer des toilettes mobiles régulièrement), mais d’autres ouvriront malgré tout les documents joints, par  pure curiosité, ou quelconque raison, comme expliqué dans l’étude The Human Factor 2015. Lorsque le fichier JavaScript compressé est ouvert, aucun PDF n’est extrait. Il s’agit plutôt d’un fichier .js. Les études ont également permis de révéler que le fichier JavaScript était conçu pour ne pas être détecté par les antivirus. Ce qui n’est pas bien compliqué. certains antivirus ont tenté la chose et se sont retrouvés à diffuser des faux positifs, comme ce fût le cas, le 29 février avec Nod32. Sur les systèmes Windows, le fichier JavaScript semble sans danger et s’exécute automatiquement après un clic double. Lorsqu’un clic double est effectué sur le fichier JavaScript, le téléchargement du fichier binaire comportant Dridex démarre.

34frgegrg.exe, is bad !

En général, les campagnes induisant Dridex se caractérisent par des macros qui permettent presque exclusivement de diffuser les charges. Les Courriers électroniques avec fichier Excel joint comportant une macro qui permet le téléchargement de Dridex. L’exploit du document semble similaire, mais une seule action est requise par l’utilisateur : ouvrir le document joint sur un système vulnérable. Ceci constitue un processus inhabituel lorsqu’il est question de Dridex. Ce type d’attaque, qui revient en fait à simuler l’envoi d’une commande de programmation basique de type Hello World, est particulièrement efficace sur les systèmes vulnérables. Ce document est très probablement personnalisable et son contenu est destiné à rendre l’utilisateur moins suspicieux, ce qui n’aurait pas été le cas avec du texte de programmation.

Les pirates propageant Dridex savent faire preuve de créativité lorsqu’il est question de diffuser leurs charges. En outre, ils n’ont de cesse de développer de nouveaux procédés permettant de ne pas être confondus par les antivirus et autres mesures de détection. La curiosité peut se révéler dangereuse : il est toujours important de rappeler aux utilisateurs qu’il ne faut pas ouvrir les pièces jointes suspectes ou inhabituelles.

Quand le ransomware devient une affaire personnelle
De son côté, Bitdefender indique qu’un tiers des français interrogés sont prêts à payer une rançon pour récupérer leurs données. Les Français se disent prêt à payer jusqu’à 190 €, les Anglais jusqu’à trois fois plus  !

Au total des six pays référents de cette étude (États-Unis, Allemagne, France, Royaume-Uni, Danemark et Roumanie), les ransomwares ont fait un peu plus de 20 millions de victimes en 2015. Bitdefender explique que l’extortionware, malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet, a bondi de 20% l’année dernière et compte pour une part de plus en plus importante de ces victimes.

Proportionnellement, les États-Unis est le pays le plus touché par cette cyber-menace avec 4.1% de sa population, victimes de ransomwares (soit 13.1 millions), suivi de l’Allemagne avec 3.8% (3.1 millions). En effet, comme le révélait une récente étude interne de Bitdefender2, les internautes américains sont des cibles de choix pour les attaques de ransomwares : 61,8% des attaques de malwares via e-mails aux États-Unis y ont diffusé du ransomware en 2015 (55.8% en France) et un e-mail sur cinq infectés par un ransomware au niveau mondial ciblait les États-Unis.

La France se place en 4e position de ce classement devant le Royaume-Uni avec respectivement 3.3% (2.2 millions) et 2.6% (1.7 million) de la population victime de ransomwares.

L’étude révèle également que moins de 50% des internautes savent précisément ce qu’est un ransomware et qu’il s’agit d’un type de menace qui ‘bloque ou limite l’accès aux données d’un PC’. Les Français sont les moins avertis puisque seulement 31% des personnes sondées sont capables de donner cette définition, quand 21% déclarent savoir qu’un ransomware ‘impacte l’ordinateur’ alors que 45% ‘ne savent pas’ ce qu’est un ransomware (vs. 21% des américains).

Le ransomware est la cyber-menace la plus lucrative pour les cybercriminels et l’on comprend aisément pourquoi : en moyenne, près de la moitié des victimes (32% des sondés en France) se disent prêtes à payer environ 500 € pour récupérer leurs données, même s’ils savent que les cybercriminels pourraient très bien ne pas leur fournir la clé de déchiffrement ou leur demander une somme supplémentaire, notamment pour développer de nouveaux outils. Les victimes américaines sont même 50% à avoir payé une rançon.

Une somme qui peut varier d’un pays à un autre puisqu’un Anglais se dit prêt à payer trois fois plus qu’un Français pour récupérer ses données (526 € vs. 188 €) mais toutes les victimes s’accordent pour dire que leurs données personnelles sont en tête de leurs préoccupations. En France 21% des répondants sont prêts à payer pour récupérer des documents personnels, 17% pour des photos personnelles et seulement 11% pour des documents professionnels.

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Selon les rapports fédéraux américains, les dommages liés au ransomware le plus récent et le plus important, CryptoWall et ses variantes, s’élèvent à 900 millions d’euros par mois. Ces dommages en pleine expansion sont d’autant plus élevés que le prix du kit ransomware Cryptolocker / Cryptowall 3.1 est vendu seulement 2700 € sur le black market, avec le code source, un manuel et une assistance gratuite.

Argent, Arnaque, Bitcoin, Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, escroquerie, Logiciels, Paiement en ligne, Particuliers, ransomware, Social engineering

Citroni, le ransomware qui attaque les serveurs web

Les experts de Kaspersky Lab auraient découvert une nouvelle variante du ransomware CTB-Locker3 Baptisé Citroni / Onion, il s’attaque aussi aux serveurs web.

A l’origine, CTB-Locker est un malware de type ransomware qui chiffre des fichiers sur le disque dur de ses victimes avant de demander une rançon pour les déchiffrer. Il se démarque pour 3 raisons : Son taux d’infection très élevé ; son utilisation de Tor, des Bitcoins et de Elliptic Curve Cryptography et ses capacités multilingues.

Son objectif n’est plus d’encrypter le contenu des ordinateurs mais de s’attaquer aux serveurs web. Ici, les rançonneurs cherchent avant tout des sites web vulnérables, les attaquent pour y uploader du code et encryptent ensuite l’ensemble des fichiers qui y figurent. Ils modifient alors la page d’accueil de ces sites et y affichent des informations sur la façon de décrypter leur contenu. Ils incluent également des informations sur le montant de la rançon.

Les chercheurs ne savent pas encore comment CTB-Locker est déployé sur les serveurs web, mais il y a cependant un point commun sur plusieurs des serveurs attaqués : ils utilisent tous la plate-forme de blog WordPress. En pratique, les rançonneurs demandent moins de la moitié d’un bitcoin comme rançon, soit environ 150 $ US. Pour le moment, 70 serveurs encryptés dans 11 pays ont été repérés, avec une majorité de victimes aux États-Unis et en Russie. Pour le moment, aucun outil de désencryption n’est disponible, la seule façon de se débarrasser rapidement de cette menace étant de s’assurer de disposer d’une copie de sauvegarde des fichiers du serveur, le tout dans un endroit séparé.

Banque, Bitcoin, Cybersécurité

Quand des dealers font du business avec des bitcoins

La police néerlandaises arrête 10 personnes soupçonnées de dealer de la drogue via Internet. Voitures de luxe, argent et comptes bitcoins ont été saisis.

Le FIOD, le service des enquêtes spéciales du ministère des finances des pays-bas et le bureau des infraction, un service en charge de la lutte contre la criminalité dans les domaines de l’environnement et l’économie ont fait descendre « les amis du petit déjeuner » sur 15 adresses basées à Rotterdam, Zoetermeer, Almere, Dordrecht, Zaandam, Schiedam, La Haye et Putten.

Derrière les portes de ces maisons et appartements, 10 individus soupçonnés de vendre de la drogue par le biais de l’Internet. Le produit phare de cette bande, du XTC [Ecstasy].

Des véhicules de luxe, de l’argent liquide, des comptes bancaires et des comptes Bitcoins ont été saisis. Une action judiciaire avec des commissions rogatoires venues des États-Unis, d’Australie, de Lituanie et du Maroc. Ces 10 suspects servaient aussi de blanchisseur d’argent pour les commerçants du Darknet.

Banque, Bitcoin, Cybersécurité

Piratage de Cryptsy annonce-t-il la fin du Bitcoin ?

Un commentaire

Cryptsy, l’une des bourses d’échanges de Bitcoins piratée. Une porte cachée installée dans le code du porte-monnaie de cette crypto-monnaie.

Voilà un piratage impressionnant. D’abord par sa mise en place. Le pirate présumé, le développeur d’un concurrent du Bitcoin, Lucky7Coin. Il aurait inséré une backdoor (une porte cachée) directement dans le code du Cryptsy. Bilan, via IRC (Internet Relay Chat), le pirate aurait été capable de prendre le contrôle de  Cryptsy et de détourner des milliers de bitcoins et Litcoin. 13.000 bitcoins et pas moins de 300.000 litcoins ont été volés, soit un total de 11 millions d’euros. Un piratage qui daterait de 2014. Ce boursicoteur de Cryptsy avait réussi à éponger la perte.

Seulement, une descente de la police relance l’affaire. Plus efficace que le pirate, cette rumeur de perquisition a inciter les clients à retirer leur argent. Bilan, les transactions ont été stoppées tellement le cours chuté comme neige au soleil.

Pendant ce temps, chez les développeur de la crypto-monnaie, ça bouge, et pas dans le bon sens. Mike Hearn, co concepteur historique du Bitcoin a décidé de stopper son engagement considérant que ses collégues ne laissaient aucunes chances d’évolution à la monnaie numérique. Il souhaitait 24 transactions par seconde alors que ses « amis » ne souhaitent pas dépasser l’unique transaction par seconde. Et ce n’est pas les fermes de bitcoins, installées en Chine qui vont aider dans la bonne évolution de la monnaie 2.0.

Une prime de 1000 BTC a été proposée à toute personne capable de remonter à l’argent volé. Ce dernier a été entreposé sur un wallet qui n’a pas évolué depuis 2014. Big Vern, de chez Cryptsy, promet « le pardon » dans le cas ou le pirate rend spontanément les Bitcoins détournés. Sans réponse, ce dernier indique que « ce sera la guerre » contre ce pirate.

backdoor, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, escroquerie, Particuliers, ransomware

2015 : L’année du fléau Ransomware

55.8 % de tous les fichiers malveillants visant les internautes français contenaient une forme de ransomware.

Après avoir analysé des e-mails infectés visant des utilisateurs lors des douze derniers mois et détecté une proportion considérable de malwares de type ransomware, Bitdefender, société de technologies de sécurité Internet innovantes protégeant plus de 500 millions d’utilisateurs dans le monde entier, publie un aperçu de ce que pourrait être l’amplitude de cette menace.

En juin 2015, le FBI a lancé un avertissement à propos de Cryptowall 4.0, le décrivant comme le ransomware le plus « actif et menaçant, visant les particuliers et entreprises américaines ». L’étude de Bitdefender confirme cette tendance : 61,8% de toutes les attaques de malwares via e-mails aux États-Unis ont diffusé du ransomware (la plupart du temps Cryptowall et Cryptolocker).

En France, un peu plus de la moitié (55.8%) de tous les fichiers malveillants diffusés via e-mail contenaient une forme de ransomware.

À l’échelle mondiale, près du tiers des attaques de malwares par e-mails contenaient une forme de ransomware, dont la majorité aux États-Unis (11.9%) et environ 2% en France. Le reste des e-mails propageant d’autres types de malwares : chevaux de Troie, spywares et autres programmes malveillants.

Comme souvent, les internautes américains sont les plus ciblés par des infections ransomwares via mail (21.2%). La France arrive en 4e position des cibles privilégiées par les cybercriminels (3.85%).

Les cybercriminels à l’origine de ces ransomwares ont donc fait des États-Unis leur priorité, rejoignant ainsi les craintes des DSI américains davantage préoccupés par les ransomwares que par les menaces 0-day1. Ce pays représente en effet un marché hautement profitable pour ce type d’attaque. En 2015, les créateurs du tristement célèbre ransomware CryptoWall ont extorqué plus de 325 millions de dollars (près de 300 millions d’euros) aux victimes américaines, selon diverses études. Un des facteurs importants qui explique ces gains est l’utilisation d’algorithmes de chiffrement sophistiqués qui ne laisse bien souvent d’autre choix aux victimes que de payer la rançon. Le FBI lui-même a parfois encouragé des entreprises à payer.

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Alors que certains pirates préfèrent l’approche du chiffrement de fichiers, certaines versions plus novatrices se concentreront sur le développement de « l’extortionware » (malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet).

Base de données, Bitcoin, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, Piratage

Piratage : 4 millions de clients du FAI TalkTalk dans la nature

Une faille de type injection SQL a permis à un pirate informatique de mettre la main sur 4 millions de clients du Fournisseur d’Accès à Internet TalkTalk. Il réclamait plus de 100 000 euros pour son silence.

Le Fournisseur d’Accès à Internet (FAI) britannique TalkTalk a confirmé qu’un pirate informatique était passé dans ses entrailles numériques. Une injection SQL aurait donné accès  à des données clients. Quatre millions de fiches clients ont été, dans le meilleur des cas lus, dans le pire copiés. Il est possible que les renseignements personnels, y compris les coordonnées bancaires, ont été dérobés. Les serveurs de l’entreprise ont été fermés durant plus de 24 heures, le temps que les autorités compétentes face les constatations d’usages, ainsi que des copies afin de remonter aux traces laissées (ou pas) par l’intrus.

Le FAI a admis que « malheureusement » il y avait une «chance» que certaines données clients, les noms des abonnés, les adresses, dates de naissance, numéros de téléphone, adresses e-mail, informations de compte bancaire et numéros de cartes de crédit ont pu être consultés par des pirates. Le pirate a réclamé 80 000 livres sterlings, soit plus de 110 000 euros contre son silence.

Argent, Banque, Bitcoin, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, escroquerie, Logiciels, Particuliers, Piratage

Ransomware : Les créateurs de CoinVault arrêtés ?

La Police néerlandaise a arrêté lundi 14 septembre dernier deux hommes d’Amersfoort aux Pays Bas, soupçonnés d’être impliqués dans des attaques ransomware CoinVault.

Les attaques des cybercriminels avaient débuté en mai 2014 et s’étaient poursuivies jusqu’à aujourd’hui, prenant pour cibles des utilisateurs dans plus de 20 pays. Kaspersky Lab a réalisé d’importants efforts de recherches afin d’aider la National High Tech Crime Unit (NHTCU) de la Police néerlandaise à dépister et identifier les pirates présumés. Panda Security a également contribué à l’enquête de police en indiquant des versions de malware associées.

Les cybercriminels de CoinVault ont tenté d’infecter des dizaines des milliers d’ordinateurs dans le monde dont la plupart des victimes se trouvaient aux Pays-Bas, en Allemagne, aux Etats-Unis, en France et au Royaume-Uni. Les pirates sont parvenus à verrouiller au moins 1 500 ordinateurs fonctionnant sous  Windows, avant de réclamer une rançon sous la forme de « bitcoins » en échange du décryptage des fichiers.

Les cybercriminels responsables de cette campagne d’extorsion en ligne ont tenté d’adapter leurs techniques d’approches à différentes reprises, afin de pouvoir continuer à toucher de nouvelles victimes. Le premier rapport d’enquête de Kaspersky Lab sur CoinVault a été publié en novembre 2014, après que les premiers incidents du programme malveillant ont été rapportés. La campagne s’est ensuite interrompue jusqu’avril 2015, date à laquelle un nouveau cas a été découvert. Pendant ce même mois, Kaspersky Lab et la National High Tech Crime Unit (NHTCU) de la Police néerlandaise ont lancé le site web noransom.kaspersky.com, une base de données avec des clés de décryptage. Une application de décryptage a en outre été mise à disposition en ligne afin de permettre aux victimes de CoinVault de récupérer leurs données sans devoir verser de rançons aux criminels. Kaspersky Lab a ensuite été approché par Panda Security qui avait trouvé des informations sur des versions de malware associées et dont les recherches de Kaspersky Lab ont révélé que celles-ci étaient effectivement liées à CoinVault. Une analyse approfondie de tous les malwares apparentés a ensuite été réalisée et transmise à la Police néerlandaise.

En avril 2015, lorsqu’une nouvelle version de CoinVault avait été observée, un élément intéressant avait été observé : le malware comportait des phrases sans fautes en néerlandais. Le néerlandais est une langue relativement difficile à écrire sans fautes, de sorte que nous soupçonnions, depuis le début de notre enquête, qu’il existait une connexion néerlandaise avec les auteurs présumés du malware. Ce qui s’est avéré être le cas par la suite. Le combat remporté contre CoinVault a été le fruit d’efforts communs entre des autorités responsables de l’application des lois et des entreprises privées. Nous avons atteint un formidable résultat: l’arrestation de deux suspects.

Argent, Arnaque, Bitcoin, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Logiciels, Paiement en ligne, Particuliers, Piratage, ransomware, Social engineering

TeslaCrypt 2.0 : jeu, chiffre et match

Le ransomware crypteur TeslaCrypt 2.0 travestit son identité pour réclamer une rançon de 500 dollars La plupart des infections par TeslaCrypt se produisent aux Etats-Unis, en Allemagne et en Espagne, suivis de l’Italie, de la France et du Royaume-Uni.

Kaspersky Lab a détecté un comportement curieux dans une nouvelle menace de la famille de ransomwares crypteurs TeslaCrypt. La version 2.0 du cheval de Troie notoirement connu pour infecter les ordinateurs de joueurs affiche en effet dans le navigateur une page HTML qui est une réplique exacte de CryptoWall 3.0, un autre ransomware célèbre. Sans doute les criminels le font-ils avec une intention bien précise : à ce jour, de nombreux fichiers cryptés par CryptoWall n’ont pas pu être décryptés, ce qui n’est pas le cas pour de multiples exemples observés d’infection par TeslaCrypt. Une fois l’infection réussie, le programme malveillant réclame une rançon de 500 dollars/Euros sous forme de bitcoins en échange de la clé de décryptage ; si la victime tarde à obtempérer, le montant de la rançon double.

Les premiers échantillons de TeslaCrypt ont été détectés en février 2015 et ce nouveau cheval de Troie s’est acquis une notoriété immédiate auprès de joueurs sur ordinateurs. Parmi d’autres types de fichiers ciblés, il tente d’infecter des fichiers typiques de l’univers des jeux : parties sauvegardées, profils d’utilisateurs, replays, etc. Cependant, TeslaCrypt ne crypte pas les fichiers dont la taille est supérieure à 268 Mo.

Mécanisme d’infection
Quand TeslaCrypt infecte une nouvelle victime, il génère une adresse Bitcoin distincte pour recevoir le paiement de sa rançon, ainsi qu’une clé secrète permettant de lever le cryptage. Les serveurs de commande C&C de TeslaCrypt se trouvent dans le réseau Tor. La version 2.0 du cheval de Troie utilise deux jeux de clés : l’un est unique au sein d’un système infecté, l’autre est généré à répétition chaque fois que le programme malveillant est relancé dans le système. En outre, la clé secrète servant à crypter les fichiers de l’utilisateur n’est pas enregistrée sur le disque dur, ce qui complique nettement leur décryptage.

Les malwares de la famille TeslaCrypt ont été observés se propageant via les kits d’exploitation de vulnérabilités Angler, Sweet Orange et Nuclear. Dans ce mécanisme de propagation, la victime visite un site Web infecté et le code malveillant exploite des vulnérabilités du navigateur, le plus souvent dans des modules additionnels, pour installer le malware spécialisé sur l’ordinateur cible.

Recommandations aux utilisateurs
·         Effectuez régulièrement des sauvegardes de tous vos fichiers importants. Les copies doivent être conservées sur des supports déconnectés physiquement de l’ordinateur aussitôt la sauvegarde effectuée.

·         Il est vital de mettre à jour vos logiciels à mesure que de nouvelles versions sont disponibles, en particulier votre navigateur et ses modules additionnels.

·         Au cas où un programme malveillant parvient néanmoins à s’infiltrer dans votre système, il sera le plus efficacement contré par la dernière version en date d’une solution de sécurité dont les bases de données sont actualisées et les modules de protection activés.