TeslaCrypt: les rançongiciels qui chiffrent les données et exigent le paiement d’une rançon ne faiblissent pas

03.12.2015 - La centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a reçu ces derniers jours plusieurs annonces témoignant d’une recrudescence d’infections avec le rançongiciel « TeslaCrypt », qui chiffre les données et exige le paiement d’une rançon.

La centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a reçu plusieurs annonces témoignant d'une recrudescence d'infections avec le rançongiciel « TeslaCrypt ». Succédant aux rançongiciels Cryptolocker, Synolocker, Cryptowall, etc., cette nouvelle variante semble se propager presque exclusivement à travers des pièces jointes malicieuses d’E-Mails (un fichier « .zip » contenant un fichier « .js »). Une fois installé, le maliciel va chiffrer les fichiers présents sur la machine (tels que photos, des fichiers excel ou word). La victime verra ensuite un message s'afficher sur son écran. Dans ce dernier,  les criminels exigent le paiement d'une somme d'argent dans un laps de temps donné en échange de la clé de déchiffrement permettant de récupérer les données.

Beispiel_eines_Erpresserschreibens
Exemple d’un message d’extorsion

 

De nombreux antivirus permettent de repérer et détruire le maliciel, mais il est souvent déjà trop tard, les fichiers se trouvant sur la machine ayant déjà été chiffrés. Le problème principal n'est donc pas de se débarrasser du maliciel, mais bien de réaccéder à ses données. A l'heure actuelle, aucune méthode ne semble pouvoir permettre de récupérer à coup sûr les fichiers préalablement chiffrés sans la clé unique à disposition des malfaiteurs. MELANI déconseille tout de même de céder aux demandes des criminels et d'effectuer un paiement. Aucune garantie n'existe en effet que ces derniers respecteront leur engagement et enverront réellement à la victime la clé lui permettant de récupérer ses données. Par ailleurs, en payant la rançon, vous participez au financement de l’activité des criminels et leur permettez d’améliorer l’efficacité de leurs prochaines attaques.

Mesures:

  • Veillez à effectuer des sauvegardes régulières de vos données importantes sur un support externe, qui sera connecté à l'ordinateur uniquement lors de la sauvegarde des données
  • Il convient toujours d'être extrêmement prudent en présence de courriels suspects, inattendus ou provenant d'un expéditeur inconnu : ne suivez pas les recommandations figurant dans le texte, ne suivez pas les liens indiqués et n'ouvrez pas les documents attachés
  • Il convient de toujours garder à jour son système d'exploitation et toutes les applications (p.ex. navigateur, PDF reader) installées sur sa machine, de manière automatique lorsque cela est possible
  • Un antivirus à jour doit toujours être installé sur sa machine
  • Un pare-feu (firewall) personnel doit être installé et à jour 

Vous retrouvez ces conseils avec plus de détails sur la page web de MELANI consacrée aux moyens de protection : «Comment se protéger

En cas d'infection avérée il est recommandé de déconnecter immédiatement l'ordinateur de tout autre réseau ou système. Une désinfection de la machine est bien entendu nécessaire. En règle générale, une réinstallation du système et un changement de tous les mots de passes sont des mesures recommandées. Ces manipulations peuvent être réalisées avec le concours d'un spécialiste en informatique. Une fois ces mesures prises, il sera possible de restaurer les données à partir de copies de sauvegardes si ces dernières existent. Si aucune sauvegarde n’existe, nous recommandons de conserver les fichiers chiffrés en l’état, en vue d’une éventuelle solution future, qui pourrait permettre de les déchiffrer. 

Contact spécialisé
Dernière modification 03.12.2015

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/documentation/lettre-d-information/teslacrypt.html