Kaspersky Lab ha rilevato un comportamento anomalo in una nuova minaccia appartenente alla famiglia di encryptor ransomware
TeslaCrypt. Nella versione 2.0 del Trojan, conosciuto per aver infettato principalmente
i gamer di videogiochi online, viene visualizzata una pagina HTML nel browser web, che consiste in una copia esatta di CryptoWall 3.0, un altro noto programma ransomware.
E’ probabile che i criminali con questa azione stiano siglando una dichiarazione di intenti: finora, molti file crittografati
CryptoWall non possono essere decifrati, a differenza dei numerosi casi di infezione TeslaCrypt del passato.
Come conseguenza dell’infezione, il programma nocivo
chiede un riscatto di 500 dollari per ottenere la chiave di decrittazione e più tempo passa senza che la vittima paghi il riscatto più questo raddoppia. I primi sample di TeslaCrypt sono stati scoperti nel febbraio 2015 ed il nuovo ransomware Trojan è diventato famoso tra le minacce rivolte ai gamer. Tra gli altri file obiettivo della minaccia
sono inclusi file legati al gaming: tra cui salvataggi di partite, profili utente e replay decodificati.
TeslaCrypt non cripta file che superano i 268 MB. Quando TeslaCrypt miete una nuova vittima, genera un indirizzo Bitcoin esclusivo per ricevere il pagamento del riscatto oltre ad una chiave segreta per riscuoterlo. I server di C&C di TeslaCrypt sono situati nella rete Tor.
La versione 2.0 del Trojan utilizza 2 set di chiavi: uno di tipo esclusivo all’interno di un sistema infetto mentre l’altro generato ripetutamente ogni volta che il programma viene rilanciato. Inoltre la chiave segreta con la quale i file utente vengono criptati non viene salvata sul disco rigido, il che rende il processo di decodificazione molto più complesso.
E’ stato riscontrato che la famiglia di malware TeslaCrypt si propaga attraverso
i kit exploit Angler, Sweet Orange e Nuclear. Il meccanismo di propagazione si innesca quando la vittima visita un sito infetto e il codice exploit dannoso, utilizzando le vulnerabilità del browser – in particolar modo i plugin – installa il malware sul computer della vittima.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
