Menace TellYouThePass

*Source de la réclamation SH peut la supprimer.

Nous avons créé les informations ci-dessous pour vous guider dans la suppression du TellYouThePass Ransomware et vous expliquer comment éviter les infections répétées. Le supprimer ne représente que la moitié de la bataille. L'autre partie consiste à supprimer la vulnérabilité CVE-2024-4577 et à garantir qu'il n'y a rien sur le PC infecté qui puisse restaurer le Ransomware TellYouThePass.

Quel type de menace est le TellYouThePass Ransomware ?

TellYouThePass est un ransomware « de base » apparu pour la première fois en 2019. Cela a été déclaré à plusieurs reprises dans les médias, mais cela n'est qu'une bien maigre consolation pour les victimes réelles du malware. En termes simples : le ransomware TellYouThePass n'est pas très sophistiqué, mais une fois qu'il a terminé de chiffrer vos fichiers, il n'y a aucune différence entre lui et les autres ransomwares. Vous avez très peu de chances de récupérer vos fichiers si vous n'avez pas de sauvegardes.

Télécharger outil de suppressionpour supprimer TellYouThePass

Récemment (juin 2024), TellYouThePass Ransomware a attiré une attention renouvelée pour l'exploitation de vulnérabilités récemment découvertes comme Log4j d'Apache. Mais contrairement à d’autres groupes de cybercriminels, TellYouThePass ne gère pas de blog public ni de référentiel de données sur les victimes, ce qui ajoute une couche d’imprévisibilité à ses opérations. Il cible aussi bien les entreprises que les particuliers, avec un périmètre sans scrupule en termes de victimes potentielles.

Dans le passé, nous avons observé TellYouThePass Rnsomware exploiter CVE-2021-44228, mais beaucoup plus récemment, il a ciblé la vulnérabilité CVE-2024-4577 récemment découverte. Le gang des ransomwares exploite actuellement très largement l’exécution de code à distance exploitable récemment corrigé en PHP. Cela permet aux attaquants de fournir des webshells et d’exécuter leurs charges utiles de chiffrement sur les systèmes cibles.

Les attaques pour lesquelles vous êtes probablement ici ont commencé le 8 juin, à peine 48 heures après que les responsables de PHP ont publié des mises à jour de sécurité. Les attaquants ont utilisé un code d'exploitation accessible au public (sur Github). Cela impliquait l'exécution de code PHP arbitraire à l'aide du binaire Windows mshta.exe pour exécuter une application HTML malveillante. Le groupe montre une nette préférence pour l'exploitation des vulnérabilités connues dans les langages de développement Web open source. Cela signifie malheureusement que TellYouThePass Ransomware ne se limite pas à Windows, mais peut également infecter les utilisateurs de Linux.

Comment TellYouThePass exploite CVE-2024-4577

Ces informations conviennent mieux aux personnes férus de technologie :

Plusieurs versions de PHP antérieures à la 8.3.8 présentent une vulnérabilité importante lorsqu'elles sont utilisées avec Apache et PHP-CGI. Si certaines pages de codes sont définies, Windows peut utiliser un comportement « meilleur ajustement », remplaçant les caractères dans la ligne de commande donnée aux fonctions de l'API Win32. Un tel comportement amène le CGI à confondre ces caractères avec des options PHP, ce qui permet à un criminel de transmettre des options au binaire PHP. Nous plaçons cela ici comme une explication simple au cas où vous voudriez le contexte de ce qui se passe.

Télécharger outil de suppressionpour supprimer TellYouThePass

Si nous vous avons perdu ici, nous vous recommandons de contacter un administrateur système ou simplement d'utiliser SpyHunter comme recommandé dans nos annonces.

TellYouThePass utilise le binaire Windows mshta.exe pour exécuter un fichier HTA, qui est un conteneur pour un VBScript avec une chaîne codée en base64. La chaîne est décodée en binaire, charge une variante .NET du ransomware dans la mémoire de l'hôte et, à ce stade, vous êtes déjà infecté par TellYouThePass Ransomware. Le malware envoie une requête HTTP à un serveur de commande et de contrôle (C2) sous la forme d'une fausse requête de ressource CSS. À partir de là, il fonctionne comme un ransomware standard : il crypte les fichiers sur la machine infectée.

Une fois le cryptage terminé, TellYouThePass Ransomware place une note de rançon intitulée « READ_ME10.html » avec des instructions sur la façon de restaurer les fichiers. Malheureusement, la plupart des victimes ne remarquent l’infection qu’à ce moment-là, ce qui est trop tard pour y remédier. La demande de rançon actuelle est fixée à 0,1 BTC (environ 6 700 $). Plusieurs sites Internet en ligne sont actuellement infectés et peuvent servir de vecteurs si cela persiste.

Comment éviter les infections répétées par TellYouThePass Ransomware

Il existe des moyens d'atténuer l'exploitation de la faille PHP et d'empêcher de nouvelles attaques de TellYouThePass Ransomware (ou d'un autre malware qui emboîte le pas). Tout d’abord, vous pouvez patcher les systèmes concernés – ce qui semble évident. Mais c'est une étape essentielle. De nombreux sites Web ne sont pas mis à jour régulièrement de peur de perturber les fonctionnalités du back-end ou du front-end, mais cela garantira que le virus ne reviendra pas.

Deuxièmement, n'exécutez pas PHP avec le mode CGI activé. Comme vous pouvez le constater avec Log4j, il est difficile de mettre à jour chaque système impacté par une faille dans un langage de script Web. Vous pouvez migrer vers des architectures plus sécurisées comme Mod-PHP, FastCGI ou PHP-FPM. En général, PHP CGI est obsolète et problématique.

Vous pouvez également suivre d’autres bonnes pratiques, mais celles-ci sont plus générales et ne sont pas directement liées à TellYouThePass Ransomware. Faites régulièrement le point sur tous les actifs et applications de votre environnement de travail. Vous pouvez corriger toutes les vulnérabilités les affectant. Utilisez la technologie de pare-feu Web pour arrêter les attaques et puisque vous êtes ici, nous vous recommandons d'acheter un programme anti-malware comme première ligne de défense.

Que pouvez-vous faire pour atténuer les dégâts causés par TellYouThePass Ransomware ?

Il est très important d'agir immédiatement et d'arrêter l'appareil infecté si vous détectez TellYouThePass Ransomware dès le début. Isolez immédiatement le système infecté des autres appareils du réseau, sinon le ransomware pourrait se propager à travers eux. Cela aide à contenir l'infection et arrête le cryptage ultérieur des fichiers.

Ensuite, identifiez la souche de ransomware à laquelle vous faites face. Sachant qu'il s'agit de TellYouThePass, cela signifie que les fichiers seront ajoutés avec une extension .LOCKED. Vous pouvez trouver des outils ou des ressources de décryptage spécifiques ici, mais ils ne vous aideront probablement pas. Malheureusement, il n'existe aucune méthode garantie pour décrypter les fichiers sans payer la rançon, mais contacter des entreprises de cybersécurité peut offrir des options.

La restauration des sauvegardes est votre meilleure solution pour restaurer les fichiers, mais cela n'est viable que si vous disposez de sauvegardes en premier lieu. Si vous les possédez, assurez-vous qu’ils sont stockés hors ligne, sinon TellYouThePass Ransomwaare peut s’y propager. Assurez-vous de nettoyer soigneusement vos systèmes avant de restaurer votre système à un état d'avant l'attaque afin d'éviter une réinfection.

Découvrez comment supprimer TellYouThePass depuis votre ordinateur

• Étape 1. Supprimer TellYouThePass via un anti-malware
• Étape 2. Supprimer TellYouThePass à l'aide de la restauration du système
• Étape 3. Récupérez vos données

Étape 1. Supprimer TellYouThePass via un anti-malware

• a) Windows 7 / Vista / XP
• b) Windows 8/10

a) Windows 7 / Vista / XP

1. Démarrer → Arrêter → Redémarrer.
2. Lorsque le PC commence à se charger, continuez d'appuyer sur F8 jusqu'à ce que les options de démarrage avancées apparaissent.
3. Sélectionnez Mode sans échec avec mise en réseau.
4. Lorsque votre ordinateur se charge, téléchargez l'anti-malware à l'aide de votre navigateur.
5. Utilisez un anti-malware pour vous débarrasser du ransomware.

b) Windows 8/10

1. Ouvrez le menu Démarrer, appuyez sur le logo Power.
2. Maintenez la touche Maj enfoncée et appuyez sur Redémarrer.
3. Puis dépanner → Options avancées → Paramètres de démarrage.
4. Descendez jusqu'à Activer le mode sans échec (ou Mode sans échec avec mise en réseau).
5. Appuyez sur Redémarrer.
6. Lorsque votre ordinateur se charge, téléchargez l'anti-malware à l'aide de votre navigateur.
7. Utilisez un anti-malware pour vous débarrasser du ransomware.

Étape 2. Supprimer TellYouThePass à l'aide de la restauration du système

• a) Windows 7 / Vista / XP
• b) Windows 8/10

a) Windows 7 / Vista / XP

1. Démarrer → Arrêter → Redémarrer.
2. Lorsque le PC commence le chargement, continuez d'appuyer sur F8 jusqu'à ce que les options de démarrage avancées apparaissent.
3. Sélectionnez Mode sans échec avec invite de commandes.
4. Dans la fenêtre qui apparaît, tapez la restauration de cd et appuyez sur Entrée.
5. Tapez rstrui.exe et appuyez sur Entrée.
6. Dans la fenêtre qui apparaît, sélectionnez un point de restauration et appuyez sur Suivant. Assurez-vous que le point de restauration est antérieur à l'infection.
7. Dans la fenêtre de confirmation qui apparaît, appuyez sur Oui.

b) Windows 8/10

1. Ouvrez le menu Démarrer, appuyez sur le logo Power.
2. Maintenez la touche Maj enfoncée et appuyez sur Redémarrer.
3. Puis dépanner → Options avancées → Invite de commandes.
4. Cliquez sur Redémarrer.
5. Dans la fenêtre qui apparaît, tapez la restauration de cd et appuyez sur Entrée.
6. Tapez rstrui.exe et appuyez sur Entrée.
7. Dans la fenêtre qui apparaît, appuyez sur Suivant, choisissez un point de restauration (avant l'infection) et appuyez sur Suivant.
8. Dans la fenêtre de confirmation qui apparaît, appuyez sur Oui.

Étape 3. Récupérez vos données

• a) Méthode 1. Utilisation de Data Recovery Pro pour récupérer des fichiers
• b) Méthode 2. Utilisation des versions précédentes de Windows pour récupérer des fichiers
• c) Méthode 3. Utilisation de Shadow Explorer pour récupérer des fichiers

a) Méthode 1. Utilisation de Data Recovery Pro pour récupérer des fichiers

1. Obtenez Data Recovery Pro sur le site officiel.
2. Installez-le et ouvrez-le.
3. Utilisez le programme pour rechercher les fichiers cryptés.
4. Ses fichiers sont récupérables, le programme vous permettra de le faire.

b) Méthode 2. Utilisation des versions précédentes de Windows pour récupérer des fichiers

Pour que cette méthode fonctionne, la restauration du système doit avoir été activée avant les infections.

1. Cliquez avec le bouton droit sur le fichier que vous souhaitez récupérer.
2. Sélectionnez Propriétés.
3. Accédez à l'onglet Versions précédentes, sélectionnez la version du fichier souhaitée et cliquez sur Restaurer.

c) Méthode 3. Utilisation de Shadow Explorer pour récupérer des fichiers

Votre système d'exploitation crée automatiquement des clichés instantanés de vos fichiers afin que vous puissiez les récupérer en cas de panne de votre système. Il est possible de récupérer des fichiers de cette manière après une attaque de ransomware, mais certaines menaces parviennent à supprimer les clichés instantanés. Si vous avez de la chance, vous devriez pouvoir récupérer des fichiers via Shadow Explorer.

1. Vous devez télécharger le programme Shadow Explorer, qui peut être obtenu sur le site officiel, shadowexplorer.com.
2. Installez-le et ouvrez-le.
3. Sélectionnez le disque sur lequel se trouvent les fichiers, choisissez la date et, lorsque les dossiers contenant des fichiers apparaissent, appuyez sur Exporter.