Dopo l’ultima versione Teslacrypt 3.0, da pochi giorni è uscita una nuova variante del ransomware Teslacrypt: la versione 4.0

Teslacrypt 4.0: continua l’incubo per le reti aziendali

Il teslacrypt nella sua ultima variante si presentava con estensioni “.XXX”, “.TTT” e “.MICRO”, adesso con la versione 4.0 il nuovo ransomware non cambia l’estensione dei file criptati, per capire quali file siano stati corrotti bisognerà analizzarli o riusciremo a capirlo solo dopo l’apertura del file.

teslacrypt4.0

Il malware è in grado di criptare anche file che superano i 4 GB senza danneggiarli e utilizza RSA con chiavi di cifratura a 4096 bit.

Come riporta Bleeping Computer i file memorizzati dal ransomware sono:

  • %UserProfile%\Desktop\RECOVER[5_chars].html
  • %UserProfile%\Desktop\RECOVER[5_chars].png
  • %UserProfile%\Desktop\RECOVER[5_chars].txt
  • %UserProfile%\Documents\[random].exe
  • %UserProfile%\Documents\recover_file.txt

Questa variante crea anche questo valore nel registro di sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_[random] C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe HKCU\Software\[victim_id] HKCU\Software\[victim_id]\data

Una volta infettato il pc si viene reindirizzati ad una pagina detta “personal page” dove la vittima può pagare il riscatto richiesto in Bitcoin, su un sito ONION della rete Tor.
Non sarà il Command and Control server ,accedibile tramite Tor Browser.

Il testo del messaggio è simile a quello visto per gli altri ransomware, con la minaccia di raddoppio del costo del riscatto se non si paga entro 7 giorni dall’infezione.
Il TeslaCrypt 4.0 viene distribuito attraverso siti compromessi che ospitano Angler Exploit Kit, programmi che contengono codici eseguibili che sfruttano le vulnerabilità di software installati su un pc locale o in remoto.
Può scavalcare i dispositivi di sicurezza come i tradizionali antivirus ed è in grado di attaccare i dispositivi e di eseguire software dannoso dalla memoria.
Tra le categorie più colpite ci sono Java, Flash e i browser internet.

Sono stato colpito dal ransomware, come recupero i miei dati?

Al momento l’unica soluzione è avere a disposizione un backup di tutti i dati.
Questi ransomware sono in continua espansione e sono sempre più difficili da individuare.
Il solo antivrus non basta per contrastare quest’ondata.
Consigliamo quindi, di dotarvi di un sistema di backup per evitare di perdere il lavoro di settimane o addirittura mesi.

Se volete garantirvi una soluzione di protezione totale della vostra rete aziendale richiedi informazioni o un preventivo per l’installazione e configurazione di apparati firewall DELL SonicWALL.
Questi apparati terranno lontani dai vostri dati aziendali questi malware.

Richiedi informazioni

Scopri le nostre soluzioni di sicurezza informatica

Sull'autore