Les ordinateurs indiens ciblés par le ransomware TeslaCrypt (Version 2.0.0)

Les utilisateurs de PC indiens harcelés par une épidémie de ransomware TeslaCrypt

Des experts en cybersécurité ont détecté une nouvelle version d’un virus notoire qui crée une situation chaotique en Inde. Ce virus prend le contrôle des systèmes informatiques jusqu’à ce qu’une rançon soit payée. Appelé ‘Ransomware TeslaCrypt’, le malware a été mis à jour vers la version 2.0.0 par ses créateurs, et est bien connu pour infecter les ordinateurs des joueurs, selon les experts. Il dispose également de nouvelles fonctionnalités et d’un schéma de cryptage, spécifiquement pour imiter CryptoWall.

Le programme malveillant cible désormais les entreprises et les consommateurs en ligne via des pièces jointes d’e-mails qui n’autorisent pas l’accès à un système informatique tant qu’une somme d’argent, en particulier en dollars, n’est pas payée en rançon. La rançon est doublée si la victime tarde à payer.

Détecté en février 2015, TeslaCrypt a fait les gros titres lorsqu’il a commencé à infecter des systèmes aux États-Unis, en Europe et dans des pays d’Asie du Sud-Est. Il a ensuite commencé dans des villes indiennes, y compris Mumbai et Delhi. Deux hommes d’affaires d’Agra ont été ciblés au cours des six derniers mois, desquels les criminels ont exigé une rançon de plus de 10 000 $ pour récupérer leurs machines.

S’exprimant auprès de TOI, Nitin Kasan, responsable de la cellule cyber d’Agra, a déclaré : “Au cours des six derniers mois, deux cas ont été signalés à Agra, où le malware a verrouillé les fichiers les plus importants de ses victimes et les a gardés en otage en échange d’une rançon pour les déverrouiller.”

Sandeep Gupta, une victime d’extorsion en ligne, qui possède une entreprise d’exportation d’artisanat à Agra, a déclaré : “En février, le site web de mon entreprise et les e-mails contenant des détails de transaction importants et des informations sur les clients ont été bloqués par un hacker nigérian inconnu.”

Dans un e-mail, les hackers ont exigé une rançon de 10 000 $ (Rs.636,000) et ont menacé de détruire toutes les données de Gupta. “J’ai demandé de l’aide à la cellule cyber de la police d’Agra, qui m’a aidé à reprendre le contrôle de mon site web,” a-t-il déclaré. La cellule cyber a aidé M. Gupta à obtenir l’accès à son site web.

TeslaCrypt, également connu comme les chasseurs de joueurs d’ordinateurs, après avoir pris le contrôle de l’ordinateur de la victime, affiche une page HTML sur le navigateur web qui est une copie identique de CryptoWall 3.0, un autre programme de ransomware bien connu.

Altaf Halde, MD (Asie du Sud) de Kaspersky Labs – une agence de sécurité numérique – a été le premier à identifier le malware et a déclaré : “Le ransomware est un type de malware qui est un mécanisme numérique d’extorsion. Le consommateur moyen ainsi que les grandes et petites entreprises peuvent être victimes de ransomware. Une telle attaque est généralement livrée via un e-mail qui inclut une pièce jointe qui pourrait être un fichier exécutable, une archive ou une image. Une fois la pièce jointe ouverte, le malware est déployé sur le système de l’utilisateur.”

Il est intéressant de savoir comment fonctionne le malware TeslaCrypt. La version récente n’utilise plus d’interface graphique pour informer les utilisateurs que leurs fichiers sont en cours de cryptage. Une page web s’ouvre dans le navigateur de l’utilisateur à cause du malware, qui affiche un message d’avertissement. Le message semble être de nature ‘amicale’ et informe l’utilisateur que ses fichiers ont été ‘safely encrypted’. Les utilisateurs devront ouvrir le Site de Décryptage de Fichiers et suivre les instructions pour décoder tous les fichiers.

The Register informe que le malware a pu générer environ 76 500 $ (Rs.4,800,000) en seulement 10 semaines. Payable en Bitcoin, le TeslaCrypt demande entre 150 $ et 10 000 $ (Rs.10,000 à 630,000). Il utilise le réseau d’anonymat Tor pour toutes les communications, ce qui le rend très difficile à suivre.

Ne pas ouvrir les pièces jointes provenant de sources inconnues est le seul moyen prouvé de rester en sécurité contre TeslaCrypt et tout autre malware. Créez régulièrement des copies de sauvegarde de tous vos fichiers essentiels. Les copies doivent être stockées sur des supports qui sont physiquement déconnectés immédiatement après la fin de la copie de sauvegarde. Ne pas utiliser de clés USB empruntées sur votre système, gardez votre logiciel anti-malware à jour, et ne téléchargez rien depuis des sites web qui ne sont pas de confiance.

CryptoWall, CryptoLocker, CTB-Locker et CoinVault sont tous des variantes différentes de la famille des ransomwares.