Nuova versione 2.0 del Trojan. Ma ora liberarsi da TeslaCrypt costa 500 dollari solo se si paga subito, altrimenti per avere la chiave di decriptazione il riscatto raddoppia, e raddoppia… e raddoppia.
ATTENZIONE, a differenza di Cryptolocker che predilige gli allegati email, questo malware si installa tramite il browser, convincendo l’utente della necessità di un FALSO aggiornamento.
TeslaCrypt è un encryptor ransomware. Uno di quei malware in grado di crittografare i file del vostro computer fino a quando non pagherete il riscatto rischiesto. Kaspersky Lab ha rilevato che nella versione 2.0 del trojan noto soprattutto per la diffusione tra i gamer di videogiochi online viene visualizzata una pagina Html che consiste in una copia esatta di CryptoWall 3.0 (una variante del ransomware Cryptolocker), secondo gli esperti di Kaspersky sarebbe una dichiarazione di intenti: finora, molti file crittografati CryptoWall non possono essere decifrati, a differenza dei numerosi casi di infezione TeslaCrypt del passato.
TeslaCrypt funziona in questo modo: si propaga attraverso i kit exploit Angler, Sweet Orange e Nuclear e il meccanismo di propagazione si innesca quando la vittima visita un sito infetto, in questi casi il codice exploit dannoso, utilizzando le vulnerabilità del browser – in particolar modo i plugin – installa il malware sul computer della vittima.
Il malware genera prima di tutto un indirizzo Bitcoin esclusivo su cui sarà ricevuto il pagamento del riscatto e una chiave per riscuoterlo. La versione 2.0 del trojan sfrutta poi due set di chiavi: uno all’interno del sistema infetto, un altro rigenerato ogni volta che il programma viene lanciato. La chiave segreta con cui vengono criptati i file utente (TeslaCrypt non cripta file superiori ai 265 MByte), non viene però salvata sul disco fisso della vittima e questo quindi riduce le possibilità di decrittare senza pagare il riscatto.
Morten Lehn, Managing Director di Kasperksy Italia, spiega la variante: “Mentre nella versione precedente il ransomware inviava un messaggio nel quale la vittima veniva avvertita che i suoi file erano stati criptati dal famoso algoritmo di crittografia RSA-2048 e questo voleva dire che non c’era possibilità di pagare il riscatto. In realtà, i cyber criminali non utilizzano questo algoritmo. Nella sua più recente versione, TeslaCrypt induce le vittime a pensare che hanno a che fare con CryptoWall – il quale una volta che ha criptato i file dell’utente non consente in alcun modo di decifrarli.Tuttavia, tutti i link portano ad un server TeslaCrypt – questo fa pensare che gli autori del malware non hanno alcuna intenzione di donare il denaro delle proprie vittime ad un concorrente”. Il programma chiede un riscatto di 500 dollari per ottenere la chiave di decrittazione, ma più tempo passa senza che la vittima paghi, più il riscatto raddoppia.
Il modo migliore per difendersi è creare copie di backup dei file importanti su un supporto che deve rimanere disconnesso quando non utilizzato per fare il backup, altrimenti il rischio di contagio è alto; aggiornare sempre e appena possibile tutti i software compreso browser e plug-in; attivare i moduli di sicurezza della propria soluzione antivirus aggiornata. Gli antivirus Kaspersky segnalano questa minaccia come Trojan-Ransom.Win32.Bitman.tk. L’azienda, contro i ransomware ha approntato inoltre il sottosistema Cryptomalware Countermeasure che segnala l’apertura sospetta di file e creare delle copie locali sane e protette, e in caso di infezione da cryptomalware anche non conosciuti permette il ripristino.
