how_recover/help_recover_instructions : TeslaCrypt RSA-4096

Les campagnes du ransomware TeslaCrypt continuent de faire des ravages.
TeslaCrypt est un ransomware qui existe depuis quelques mois. Différents noms utilisées au début (AlphaCrypt etc), les premières versions, comme souvent étaient buggués et un décrypteur était disponible, bien entendu, les versions futurs du ransomware ont corrigé ce bug et le décrypteur ne fonctionne plus.

Comme c’est le cas des ransomwares professionels actuellement, il n’y a malheureusement pas de moyen de récupérer les documents chiffrés.

Notre dossier sur les ransomwares : ransomwares chiffreurs de fichiers.

TeslaCrypt : une campagne virulente

Depuis environ début Décembre une campagne d’envergure a lieu et touche beaucoup d’internautes.
Aujourd’hui encore, sur le forum CommentCamarche, beaucoup de sujets relatif à ce ransomware TeslaCrypt ou des internautes se plaignent que l’extension de leurs documents ont été modifiée en .xxx ou .vvv  :

ransomware_teslacrypt_extension_vvv

Le 3 Décembre sur le forum, des sujets similaires :

La campagne avait surtout lieu par mail avec au départ des zips contenant un JS/Downloader qui télécharge et exécute le dropper TeslaCrypt :

et parfois quelques emails avec des Word malicieux, qui avec une macro malicieuse, télécharge aussi le ransomware sur l’ordinateur.

Contrairement aux campagnes de mails malicieux Dridex qui ont lieu en langue française et qui reprennent des mails de sociétés existantes, tous les mails de la campagne TeslaCrypt sont en anglais.
En 2015 donc, des mails malicieux en anglais, fonctionnent encore.
Une remarque, Avast! semble en détecter pas mal, Microsoft Security Essentials est à la rue, comme c’est souvent le cas : http://forum.malekal.com/teslacrypt-ransomware-fichiers-extensions-ccc-vvv-t53347.html#p410436

Eset a publié une note concernant ces campagnes de Mails malicieuse JavaScript, l’Espagne et l’Italie sont très fortement touché en Europe.
Dans le monde, c’est le Japon est qui largement devant.
La campagne a pu représenter plus de 10% des détections au pic de celle-ci.

Il semblerait qu’il y est un ralentissement de ces campagnes de mails malicieux.
Cependant les demandes de désinfections ne fléchissant pas, on peut se demander si une autre campagne avec un autre vecteur n’a pas lieu, notamment par des WEB Exploits.
D’ailleurs sur certains sujets, on trouve du Win32.Boaxxe.

HKU\S-1-5-21-4258560583-3047925665-718717340-1001\...\Run: [Ilpksoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Asus\AppData\Local\Ucmnmedia\clrdp09.dll

D’ailleurs Malwarebytes Anti-Malware précise dans une actualité que le très renommé ExploitKit Angler EK charge du TeslaCrypt : https://blog.malwarebytes.org/exploits-2/2015/12/angler-ek-drops-ransomware-newexploit/

Le gros problème avec les ransomwares est le même que pour les « stealer ».
Pas besoin de rester des heures ou des jours sur l’ordinateur pour être efficaces, comme c’est le cas des botnets ou Spambot.
Pour le ransomware, il suffit de rester 5 minutes sur l’ordinateur pour chiffrer tous les documents et le mal est fait.
Dès lors, laps de temps entre le moment où le dropper n’est pas détecté et l’antivirus le détecte permet de toucher beaucoup d’ordinateurs.

Bref ces campagnes risquent de perdurer encore quelques semaines.

EDITION – justement mi-janvier TeslaCrypt toujours d’actualité avec l’extension .micro, la distribution se fait toujours par des Web Exploit :

ransomware_teslacrypt_extension_micro_forum

Les régies publicitaires sur les sites pornographiques et Warez (malvertising) sont particulièrement vecteur, on retrouve toujours les mêmes Adcash (adnetworkperformance.com et liveadexchanger.com), PopAds, PopCash, Adsterra etc…
Les utilisateurs Internet Explorer sont visés.

Quelques exemples :

https://twitter.com/malekal_morte/status/697327110399074304
https://twitter.com/malekal_morte/status/697183670419988480
https://twitter.com/malekal_morte/status/697182081726746629

TeslaCrypt_ExploitKit_popcash

Une campagne visant le piratage de site WEB a aussi lieu, plus d’informations : ExploitKit : Campagne malicieuse Amedia / megaadvertize 

Les campagne en statistiques sur abuse.ch

Ransomware_TeslaCrypt_Locky_Cryptowall_campaign

TeslaCrypt : les symptômes

L’extension des documents chiffrés est modifée et change dans le temps.
Les différentes campagnes :

  • Début Décembre, au tout début de la campagne l’extension des documents est modifiée en .ccc et fichier howto_recover_file contenant les instructions
  • puis mi-Décembre l’extension devient .vvv
  • ~12 Janvier l’extension devient .xxx et .ttt
  • ~ 16 Janvier : extensions .micro et fichier help_recover_instructions contenant les instructions
  • Février : extension .mp3 puis extensions aléatoires

Un fichier how_recover+xxx contenant les instructions de paiements est ensuite créé dans divers format : images, HTML et texte.
Au départ le nom des fichiers d’instructions étaient howto_recover_file_xxxx.txt
Le fichier des instructions peut éventuellement changer encore dans le temps.

En outre le malware peut scanner les lecteurs réseaux et/ou partager pour toucher d’autres ordinateurs.

La version HTML est très ressemblante aux instructions de Cryptowall 3.0

TeslaCrypt : Désinfection

Vous devez désinfecter l’ordinateur pour vous assurer que le ransomware n’est plus actif, sinon tout nouveau document créés, copié etc sur l’ordinateur sera chiffré à son tour.
Il convient ensuite de supprimer tous les fichiers contenant les instructions, le plus simple est d’effectuer une recherche Windows.

Vous pouvez suivre les procédures de désinfections gratuites de ces deux sites :

En vidéo :

TeslaCrypt: Décrypter/Récupérer ses documents

Comment décrypter les fichiers du ransomware TeslaCrypt.
Il est en effet maintenant possible de récupérer les fichiers chiffrés par TeslaCrypt, toutes les variantes :
extension .mp3
extension .micro
extension .ttt
extension .jpg
extension .vvv

Procédure de récupération des fichiers TeslaCrypt : Récupérer ses fichiers/documents chiffrés par TeslaCrypt
En vidéo :

TeslaCrypt : Décrypter/Récupérer ses fichiers .vvv (ancienne procédure)

Cette procédure de récupération des fichiers ne fonctionnent qu’avec la variante extension .vvv et pas avec les variantes plus récentes mises à jour pour justement empêcher la récupération soit donc les variantes .micro

Projet TeslaCrack : https://github.com/Googulator/TeslaCrack
Il y a de bon retours sur ce projet où certains utilisateurs ont réussi à récupérer des fichiers .vvv
Discussion : récupération fichiers .vvv (ransomware teslacrypt)
Sur le forum a été mise en place une seconde procédure qui peut s’avérer peut-être plus simple, à vous de voir, voici les instructions : https://goo.gl/X8hK7r

Attention aux sites, comme comment-supprimer.com qui repompent le boulot des autres. J’ai passé pas mal de temps pour tester et faire ce tutorial, le site comment-supprimer.com a fait un copier/coller en 1minute sur leur site.
Svp, Evitez de partager le tutorial de ce site qui vole le travail des autres.

Télécharger et installer :

Dézipper TeslaCrack sur votre Bureau.
De même pour Yafu.
Dans le dossier TeslaCrack-master, copiez-y un fichier PDF.vvv de votre choix.

Dans un premier temps, vous devez modifier le PATH de Windows.
Pour cela :

  • Sur le Mon Ordinateur, faites un clic droit puis  Propriétés.
  • A gauche, cliquez sur « Paramètres Avancées ».
  • En bas cliquez, sur variables d’environnements.
  • Dans la partie basse de la nouvelle fe,être, variables d’environnement, cherchez la ligne qui débute par PATH.
  • Double-cliquez dessus, et dans le champs Valeur de la variable, à la fin, ajoutez : C:\Python27;C:\Python27\scripts

TeslaCrypt_TeslaCrack_path_python

Ouvrez une invite de commandes (Sur le clavier, Touche Windows + R et tapez cmd.exe et OK)
Saisissez les commandes suivantes à valider par entrée. :

python -c "import urllib2; print urllib2.urlopen('https://bootstrap.pypa.io/ez_setup.py').read()" | python
easy_install pip
pip install pycryptodome
pip install ecdsa
pip install pybitcoin

A partir de là, Python est prêt à être utilisé.

cd %userprofile%\Desktop\TeslaCrack-master
python teslacrack.py

Vous obtenez deux clefs, nous allons cracker la première, soit donc dans mon cas 3B64C3CC2490EAEECB7EF4EE7CB3121B5009111C1C8441EBA09EF47AB22067D7F548C5285A67609A44645C3620CC850AC64CBA66D70B572F75135545FBE6B098
Notez la seconde clef aussi.
TeslaCrack_last

Lancez yafu-Win32.exe ou yafu-64bits.exe si vous êtes en 64bits
Saisir la commande factor(0x<votreclef>), sans les < > comme dans l’exemple ci-dessous.
Vous pouvez faire un copier/coller en cliquant sur l’icône en haut à gauche de l’invite de commandes > modifier > coller.

soit donc mon cas :
TeslaCrack_last_2

Il s’agit de récupérer les factors qui permettront de calculer ensuite une clef AES.
C’est la partie la plus cruciale et qui pose le plus de problème, si vous avez de la chance la factorisation va prendre 5/10min et vous retourner les factors comme ci-dessous (ligne en dessous de factors found).
Si c’est beaucoup plus et surtout si Yafu commence à afficher en liste des chiffres, il y a de forte chance qu’il ne parvienne pas à factoriser la clef.
Il faudra alors tenter la méthode msieve, beaucoup plus long, cela peut prendre des jours.
Je vous recommande dans ce cas de poster sur le forum : Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Si Yafu retourne « factors found », vous avez de la chance.
Notez tous les factors retournés pour lancer la commande suivante en invite de commandes avec en paramètre les P1, P2 P4 etc etc, soit donc, dans mon cas :

python unfactor.py FF.pdf.vvv 2 2 2 7 67 71 2003 26386049 226672639 16325076917178637 1453184024951089659063449 6460937283741885476341 6359318652181287449000922742134296455215475834544182026033571019197

Une possible clef AES est alors retournée.
TeslaCrack_last_3

Si ce n’est pas le cas tentez avec unfactor_ecdsa.py
Soit donc : python unfactor_ecdsa.py <vos factors>

TeslaCrack_unfactor_ecdsa

Editez le fichier teslacrack.py et la partie known_keys pour ajouter les clefs en suivant la syntaxe, le fichier comporte déjà trois clefs en exemple :

'<clefdedépart qui a été factorisé avec Yafu>': b'\x<clef AES retournée>',

soit dans mon exemple :

'3B64C3CC2l<restedelaclef>': b'\x59\x3b\xd2\x54 etc',
TeslaCrack_last_4

Enregistrez les modifications puis lancez la commande :

python teslacrack.py C:\

Decrypter_extension_vvv

Decrypter_extension_vvv_2

L’option –delete permet de supprimer les fichiers .vvv

La clef publique peut parfois être différentes selon le format du fichier (JPEG, PDF etc).
Il est alors nécessaire d’effectuer une factorisation de celle-ci pour récupérer la clef privée AES.
Cela nécessite de modifier unfactor.py pour changer l’extension et le file_magics avec : ‘PK’ for .zip, ODF or .docx/OOXML files; ‘\xff\xd8’ for JPEGs; or ‘\xd0\xcf\x11\xe0’ for MS Office .doc files).

Par exemple pour les jpg, on obtient :

TeslaCrypt_TeslaCrack_modifier_unfactor

Si unfactor.py ne retourne rien avec les factors, tentez alors unfactor_ecdsa.py

TeslaDecrypt_TeslaCrack_unfactor_ecdsa
Vous pouvez alors désinstaller les programmes Python par le Panneau de configuration puis Programmes et fonctionnalités.

Sécuriser son ordinateur

Si vous avez été infecté par TeslaCrypt, cela signifie que soit :

  • Vous avez ouvert un mail malicieux et dans ce cas, vous n’êtes pas très au fait des menaces sur internet pour les éviter.
  • Votre ordinateur est vulnérable aux WEB Exploit, donc mal sécuriser.

Nous vous recommandons donc de suivre le tutorial Comment Sécuriser son ordinateur afin de combler les failles de sécurité et connaître un minimum comment les menaces se propagent sur la toile.

=> Sécuriser son ordinateur.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 2 962 times, 14 visits today)

46 thoughts on “how_recover/help_recover_instructions : TeslaCrypt RSA-4096

  1. Cette procédure fonctionne également avec des fichiers .ccc (récupération réussie chez moi)
    Il faut cependant éditer le fichier teslacrack.py et changer
    extension = ‘.vvv’
    par
    extension = ‘.ccc’

  2. bonjour,

    encore merci pour ce tuto qui m’a permis de sauver le pc de l’entreprise de mon frère.
    malgré quelques erreurs dans l’explication, j’ai pu récupérer plus de 4000 fichiers cryptés.

    bonne journée à vous

  3. Impec ! Plus de 1.300 fichiers décryptés et récupérés sur un PC que l’on ma confié, grâce à ce tuto et à l’aide de Malekal_morte.

    Bravo et merci !

  4. Bonjour,
    Un grand merci, grâce à ce tuto, j’ai pu récupérer tous les fichiers de l’ordinateur (2 clés AES différentes sur l’ensemble des fichiers .vvv) d’un membre de ma famille!

  5. bonjour,

    je télécharge
    Python 2.7 : https://www.python.org/downloads
    je l’installe

    je télécharge
    PyCrypto pour 2.7 64
    j’essaie de l’installer

    il me dit

    les fichiers que j’ai téléchargé sont ceux qui suivent

    1) Python 2.7.11.msi
    2) PyCrypto 2.6 for Python 2.7 64bit

    du coup je suis coincé, pouvez vous m’aider svp ?

  6. Bonsoir Patrick
    j’ai le même problème pour pycrypto python version 2.7 required, which was not found in the registry.
    Avez trouvé une solution ?

    Merci par avance

  7. Bonjour
    Pourriez vous expliquer svp avec des photos, lorsque je fais Windows +R, je me retrouve avec un petit écran noir, je n’arrive pas à encoder Python -c…….. Et tout le reste
    Désolé je suis nul en informatique mais tous mes dossier ont été piraté et je devais rendre pour l’école des rapport qui sont tous foutus
    Je vous remercie de bien vouloir m’aider

  8. Il peut être intéressant de rajouter le TeslaDecoder de BloodDolly (http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/), pour les personnes infectées comme moi par une version plus ancienne de Teslacrypt. Impossible de cracker la première clé, la deuxième l’était et était une Bitcoin adresse.
    Mes étapes pour récupérer mes fichiers: cracké la 2e clé avec yafu, unfactor avec _ecdsa et ensuite décodé avec le TeslaCrack.

  9. Un grand merci pour ce tuto !

    Plus de 27000 (houais vingt sept mille) fichiers infectés et plus de 20000 récupérés (le reste sont des fichiers de conf de programmes inutiles à reprendre). Nos amies vont êtres super content de récupéré leurs photos de mariage et souvenirs

    Reste plus qu’a leurs apprendre a faire des sauvegardes 😀

  10. Un énorme merci pour ce miraculeux tuto, grâce à vous j’ai pu récupérer la plupart des fichiers cryptés d’un PC infecté. Il s’agissait d’un PC d’ entreprise contenant des fichiers importants (factures, travaux divers, etc.) représentant le travail de toute la boite. Le pc était infecté depuis un mois et on ne savait pas si on pourrait un jour récupérer les fichiers. Donc encore MERCI.

  11. Excellent ! Merci ! Bravo !
    N’ai pas eu de chance avec Yafu mais msieve (en 14 heures « seulement ») m’a retourné les « factors ».
    N’ai pas eu de chance avec unfactor.py mais unfactor_ecdsa.py m’a retourné une clef AES.
    2500 fichiers décryptés !
    Merci encore

  12. Bonjour,
    Un grand MERCI à MALEKAL et à ses collègues !
    Avec aussi un bon coup de main de mon gendre pour certaines commandes (pas suffisamment explicite sur le tuto), j’ai passé du temps (12 h 00 pour la séquence la plus longue) mais j’ai réussi.
    Merci encore !

  13. super! j’ai récupéré tous les fichiers du PC d’un ami. c’était pas gagné au départ: Yafu n’a rien trouvé et j’ai du attendre quelques jours pour que msieve trouve la clé. ensuite rien avec unfactor.py mais ok ensuite avec unfactor_ecdsa.py. Merci beaucoup.

  14. MERCI A VOUS !! Après plusieurs jours d’essais infructueux, j’ai enfin réussi à décrypter des tonnes de fichiers en vvv. J’ai passé les commandes sur différents fichiers PDF ; le 4ème fut le bon, et derrière, tout a été décrypté (pdf, jpeg, txt, etc…) J’ai utilisé un PC plus puissant que celui infecté avec l’option threads=8 dans yafu.ini. , et autre info, j’ai utilisé la cde « python unfactor_ecdsa.py ».
    Si cela peut aider …
    Je vais bien dormir ce soir 🙂

  15. Muchísimas gracias por su ayuda, gracias a ustedes pude realizar la descencriptación de miles de archivos importante, Saludos desde paraguay, de verdad muchas gracias por su trabajo y su ayuda

  16. Merci pour la procédure de décryptage, sans je n’aurais jamais trouvé comment faire.
    « unfactor_ecdsa.py » a tout de suite fonctionné alors que « unfactor » troune depuis 48h…

  17. j’ai essayer de faire ça mais rien ne change j’ai l’extension .micro ? alors pas de nouveautés
    Merci et tres bonne soiree

  18. Bonjour
    Sur un serveur 2003, quand je lance yafu j’ai un message d’erreur au sujet d’une dll manquante (vcomp100.dll)
    J’ai rajouté cette dll dans Windows/system32 mais le problème persite.
    Savez-vous comment faire ?
    merci

  19. Un tout simple merci pour ce tuto qui m’a permis de récupérer les photos de famille. Je vais de ce pas faire une sauvegarde sur un support non connecté.

    Bonne soirée !

  20. Salut joubgal,

    Il n’y a pas de solution pour les .micro et apparemment, c’est très mal parti, car pour les .vvv c’était du RSA donc cassable.
    Là c’est de l’AES apparemment, donc c’est très compromis.
    Faudrait qu’ils se soient chier dessus dans le code pour avoir un espoir.
    Si une solution voit le jour, je mettrai de toute façon à jour ce topic.

  21. Merci pour l’information (je viens de la newsletter)

    Par contre, pour les sites qui pompent tout le travail, il serait peut être plus judicieux d’au moins placer les liens en « nofollow » non ? c’est dommage de faire profiter à ces sites de liens qui offrent un peu de la popularité de malekal aux yeux de google. (« Juice », PR, etc etc ).

  22. bonjour j’ai suivi le tuto, je suis sous sous windows 7, quand je tape dans l’invité de commandes:

    cd %userprofile%\Desktop\TeslaCrack-master
    c:\python27\python teslacrack.py

    j’ai un message d’erreur qui est:

    TypeError: decoding Unicode is not supported

    mes fichiers ( pdf jpg ) cryptés ont l’extension .ttt

    pourquoi???? merci

  23. Merci pour les conseils bien précieux.
    J’ai malheureusement été piraté avec la dernière version, les fichiers sont bloqués en .micro, mais au moins j’ai pu nettoyer l’ordi.

  24. voila le message que j’ai après avoir entrer « python teslacrack.py »

    Traceback (most recent call last):
    File « teslacrack.py », line 69, in
    from Crypto.Cipher import AES
    ImportError: No module named Crypto.Cipher

  25. bonjour,
    je pense avoir suivi mais je bloque pour obtenir les clés jusque là:

    A partir de là, Python est prêt à être utilisé.
    cd %userprofile%\Desktop\TeslaCrack-master
    python teslacrack.py

    que faut il faire exactement j’ai retourné cette manip dans tous les sens (dans python et sur invite de commande) je ne sais pas ou et surtout quoi taper exactement comme commande c’est pas clair pour moi qui suis novice.
    quelqu’un peut m’aider?

  26. Bonjour peut on faire ces manipulations avec le disque dur infectés en externe et utiliser avec windows 10 merci 🙂
    moi c’est l’extension .mp3

  27. Bonsoir, mëme chose qu’Alain, j’ai plusieurs fichiers infectés par ce virus avec l’extension mp3. Malekal à ton avis il existe une solution ou pas dans les prochaines semaines ?

  28. Salut, je suis nouveau sur le forum quand j’essaye de factoriser cela ne fini jamais avec la commande factor (0xclef); si quelqu’un peux m’aider:
    voici ma cle: 14BFAB00B31C265615AD26410645AA0EA5C20785B78195CD58EF96A8DE62E78AE2731310B0A828ADEE8F56E23B954E853AA7E94A407023657A8FDC97891DE29D

  29. python: can’t open file ‘easy_install’: [Errno 2] No such file or directory
    Traceback (most recent call last):
    File «  », line 1, in
    File « C:\Python27\lib\urllib2.py », line 154, in urlopen
    return opener.open(url, data, timeout)
    File « C:\Python27\lib\urllib2.py », line 431, in open
    response = self._open(req, data)
    File « C:\Python27\lib\urllib2.py », line 449, in _open
    ‘_open’, req)
    File « C:\Python27\lib\urllib2.py », line 409, in _call_chain
    result = func(*args)
    File « C:\Python27\lib\urllib2.py », line 1240, in https_open
    context=self._context)
    File « C:\Python27\lib\urllib2.py », line 1197, in do_open
    raise URLError(err)
    urllib2.URLError:

  30. Buenas tardes, me encontré con un caso de encriptación de datos pero con extensión .EC0AD, si alguien ya escucho de él. Desde ya muchas gracias

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *