Virus TeslaCrypt

Aussi connu comme: TeslaCrypt ransomware
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel TeslaCrypt

Qu'est-ce que TeslaCrypt?

TeslaCrypt est un programme malicieux qui encrypte les fichiers de l’utilisateur en utilisant l’encryption AES. Une fois que les fichiers sont encryptés, un paiement pour une clef privée (utilisée pour décrypter les fichiers) est demandé. La différence entre les rançongiciels typiques encryptant les fichiers (qui ciblent les vidéos, les documents, les bases de données des applications, les images, etc.) est que TeslaCrypt encrypte aussi les fichiers reliés aux jeux vidéos. Il y a plus de 40 jeux vidéo différents ciblés par TeslaCrypt, par exemple: MineCraft, World of Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker et Steam.

Une autre grande différence avec ce rançongiciel est qu’il accepte aussi les cartes Paypal My Cash en plus des paiements Bitcoin pour la rançon. Les cartes Paypal My Cash peuvent être achetées dans un magasin américain populaire et chargé avec de l’argent qui peut être transféré plus tard à un compte Paypal en utilisant le code PIN de la carte. Néanmoins, payer avec des Bitcoins coûtera 500$, ce qui est deux fois moins cher qu’avec les cartes Paypal. La raison de ceci est probablement le haut risque que des gains illégaux soient confisqués par Paypal.

TeslaCrypt

De plus, TeslaCrypt changera l’arrière-plan de votre bureau et créera un fichier appeler HELP_TO_DECRYPT_YOUR_FILES.txt sur votre bureau. Un écran de verrouillage expliquant que vous devez faire un paiement dans les 3 jours apparaîtra ensuite. L’écran de verrouillage contient des boutons permettant à l’utilisateur de vérifier le statut du paiement, d’entrer une clef de décryption, et un lien vers un site de paiement TOR ou un teste gratuit de décryption de fichier peut être performé.

TeslaCrypt demandant de payer une rançon afin de décrypter les fichiers:

Vos fichiers ont été encryptés de façon sécuritaire sur ce PC : photos, vidéos, documents, etc. Cliquer sur le bouton ‘’Afficher les fichiers encryptés’’ pour voir une liste complète des fichiers encryptés, et vous pouvez personnellement vérifier ceci.

L’encryption a été faite en utilisant la clef publique RSA-2048 générée pour cet ordinateur. Pour décrypter les fichiers vous devez obtenir une clef privée.

La seule copie de cette clef privée, qui vous permettra de décrypter vos fichiers, est située sur un serveur secret d’Internet; le serveur éliminera la clef après une période de temps spécifique dans cette fenêtre.

Une fois que cela a été fait, personne ne sera plus jamais capable de restaurer les fichiers…

Au moment de la recherche, la méthode de distribution du virus TeslaCryp était inconnue, cependant, après une infiltration réussie sur les systèmes d’ordinateur, le logiciel scan tous les lecteurs, et encrypte certains types de fichiers en utilisant l’encryption AES. Les fichiers encryptés auront l’extension .ecc appliqués au nom du fichier.

Types de fichiers encryptés par le rançongiciel TeslaCrypt:

.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb

Information de paiement de TeslaCrypt

Information de paiement présenté dans TeslaCrypt:

Comment nous payer en bitcoins:
Site web utile : howtobuybitcoins.info (trouver des échanges dans votre pays)
1. Visiter un des sites ci-dessous pour acheter des bitcoins (ou ou trouvez en un vous-même en utilisant le site donnée ci-haut)
2. Connectez-vous ou créez un compte si nécessaire.
3. Acheter le nombre de bitcoins dont vous avez de besoin pour payer et envoyez-les à l’adresse données dans cette fenêtre.
4. Vous pouvez aller à blockchain.info et chercher votre adresse afin de voir si les bitcoins ont été reçus.
5. Si les bitcoins sont à l’adresse, cliquer ‘’vérifier le paiement et recevoir les clefs’’.
6. Vos clefs sont maintenant reçues, presser ‘’utiliser les clefs de décryption ‘’.
7. Vos fichiers seront restaurés et le programme se supprimera lui-même.


Notez qu’au moment d’écrire ceci, il n’y avait aucuns outils connus capable de décrypter les fichiers encryptés par TeslaCrypt sans payer la rançon (essayer de restaurer vos fichiers à partir de copies fantômes). En suivant ce guide de suppression, vous serez capable de supprimer ce rançongiciel de votre ordinateur, cependant, les fichiers affectés seront encryptés. Nous mettrons à jour cet article aussitôt qu’il y aura plus d’information disponible concernant la décryption des fichiers compromis.

Suppression du rançongiciel TeslaCrypt:

Suppression instantanée automatique de TeslaCrypt ransomware: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer TeslaCrypt ransomware. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateur de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau avec la commande invite.

Mode sans échec en réseau avec Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec TeslaCrypt. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprime le ransomware (rançongiciel) en utilisant le ''Mode sans échec en réseau'' et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en mode sans échec avec la commande invite

2. Lorsque le mode de commande prompte se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

restauration du système en utilisant la commande invite type cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

system restore using restauration du système en utilisant la commande invite rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

restauration des paramètres et des fichiers du sytème

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le ransomware (rançongiciel) ait infiltré votre PC).

sélectionner un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les restants du rançongiciel TeslaCrypt.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de CryptoFortress sont connues pour supprimer les Copies Fantômes des fichiers, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Resturation des fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec commande prompte), vous devrez le démarrer un utilisant un disque de secours. Certaines variantes du logiciel rançon désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par CryptoFortress vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

capture d'écran de shadow explorer

Pour protéger votre ordinateur contres les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, utiliser un programme appelé CryptoPrevent. (CryptoPrevent implante artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que TeslaCrypt.)

capture d'écran de cryptoprevent

Autres outils connus pour supprimer TeslaCrypt:

Source: https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus

Malvin

D'accord, mais comment décrypter ces fichiers pour revenir à ceux d'origine?

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
TeslaCrypt ransomware Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du TeslaCrypt ransomware sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de TeslaCrypt ransomware aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.