BFM Tech

Les pirates du ransomware TeslaCrypt jettent l'éponge et se disent "désolés"

-

- - -

Ils ont publié la clé de déchiffrement permettant de casser l'un des ransomwares les plus diffusés sur le web. Mais les raisons de ce geste restent obscures.

Les victimes du ransomware TeslaCrypt peuvent se réjouir: leur calvaire est fini. Les auteurs de ce redoutable cheval de Troie qui chiffre les données de l'ordinateur pour extorquer une rançon, viennent d'arrêter leurs activités.

Pourtant, c'était l'un des logiciels de rançonnage les plus diffusés ces derniers mois. Après avoir été contactés par un chercheur en sécurité de l'éditeur Eset, les pirates ont même publié la clé principale de déchiffrement.

"Le projet est terminé (…) Nous sommes désolés!", peut-on lire dans leur message, sans plus d'explications. Regrettent-ils vraiment leurs actes? Ont-ils simplement amassé assez d'argent pour se retirer aux Bahamas? Ou bien ont-ils été eux-mêmes hackés par un gang de pirates concurrents? On ne le saura sans doute jamais.

-
- © -

La bonne nouvelle, c'est que l'éditeur Eset a depuis mis à disposition un logiciel permettant aux victimes de déchiffrer leurs données. Eset n'est pas le seul à proposer ce type de solution. L'informaticien BloodDolly, par exemple, a également publié un outil de déchiffrement que l'on peut télécharger sur le site BleepingComputer.com.

TeslaCrypt est apparu en février 2015 et a d'abord ciblé les gamers, en chiffrant leurs données de jeu, leurs cartes, leurs profils, etc. Cette première campagne ciblait les données d'une quarantaine de jeux dont World of Warcraft, Call of Duty et Minecraft. Les versions ultérieures de TeslaCrypt ciblaient beaucoup plus large, en chiffrant également les documents bureautiques. Dans tous les cas, il fallait s'acquitter d'une rançon de 500 dollars en bitcoin pour récupérer ses données.

Le malware était principalement diffusé par du spam ou au travers de sites web piégés (blogs, sites de news). A plusieurs reprises, des chercheurs en sécurité avaient trouvés des failles dans TeslaCrypt, permettant d'élaborer des outils de déchiffrement. Mais à chaque fois, les développeurs ont rapidement apporté des correctifs. Ce jeu de chat et de la souris est maintenant définitivement terminé.

Cryptxxx a également été cassé

Un autre succès a été remporté récemment dans le domaine des ransomwares. Ainsi, les chercheurs de Kaspersky ont réussi à casser Cryptxxx, un cheval de Troie utilisés dans plusieurs campagnes d'ampleurs ces derniers mois. En avril, le ransomware Petya a également été cassé.

Pour autant, la lutte contre ce type de malware est malheureusement loin d'être finie. Au premier trimestre 2016, Kaspersky a détecté 372.602 attaques de ransomwares, soit 30 % de plus qu'au trimestre précédent. Beaucoup de ransomware n'ont jamais été déchiffrés et de nouvelles versions apparaissent constamment. Pour se protéger, le mieux est de réaliser une sauvegarde des fichiers sur un disque déconnecté ou sur le cloud.

lire aussi

Alerte : les "ransomwares" déferlent sur la France, le 12/04/2016