E’ stata rilasciata una versione aggiornata e affinata del TeslaCrypt Ransomware, quella che è stata definita la versione 4.1.
Ecco qui le novità:
1. Capacità potenziate di risultare
invisibile ai software antivirus, di offuscamento e di anti-debugging. La
funzione antimonitoraggio che il virus ha implementato termina alcuni processi
di Windows, tra cui Gestione Attività (taskmgr.exe), Editor del Registro di
Sistema (regedit.exe), Processore dei Comandi (cmd.exe), SysInternals Process
Explorer (procexp.exe) e Configurazione di Sistema (msconfig.exe).
2. Utilizza (contrariamente a quanto indicato nella nota di riscatto) l’algoritmo di cifratura AES-256
3. Cancella le copie shadow di Windows, per impedire il recupero dei file da backup
4. Cancella l’ADS Zone.Identifier allo scopo di rendere irrintracciabile la sua origine
5. Esegue una copia del proprio eseguibile sull’hard disk e crea una voce di registro che punta a quella copia.
2. Utilizza (contrariamente a quanto indicato nella nota di riscatto) l’algoritmo di cifratura AES-256
3. Cancella le copie shadow di Windows, per impedire il recupero dei file da backup
4. Cancella l’ADS Zone.Identifier allo scopo di rendere irrintracciabile la sua origine
5. Esegue una copia del proprio eseguibile sull’hard disk e crea una voce di registro che punta a quella copia.
Resta invariata la capacità, già presente nelle vecchie versioni, di
modificare la chiave di registro “EnableLinkedConnections”
allo scopo di rendere accessibili anche ad utenti non amministratori le unità
di rete. Questo consente la criptazione di tutti i file, sia quelli presenti
sul disco rigido che quelli salvati su altri supporti in rete.
Come si diffonde?
Principalmente si ha notizia della sua diffusione tramite email con
allegati in .zip.
Queste mail vengono distribuite a ondate, durante quelle che potremmo definire, vere e proprie campagne di spam. Questa versione di solito simula le mail di conferma spedizione/ricezione di un pacco.
Se si apre l’allegato in .zip si avvia automaticamente un downloader JavaScript (transaction_wcVSdU.js).
Questo scarica l’allegato 80.exe (contenente il malware) nella directory %TEMP% e lo esegue.
Queste mail vengono distribuite a ondate, durante quelle che potremmo definire, vere e proprie campagne di spam. Questa versione di solito simula le mail di conferma spedizione/ricezione di un pacco.
Se si apre l’allegato in .zip si avvia automaticamente un downloader JavaScript (transaction_wcVSdU.js).
Questo scarica l’allegato 80.exe (contenente il malware) nella directory %TEMP% e lo esegue.
E il riscatto?
TeslaCrypt 4.1 utilizza tre metodi
di riscatto:
1. Una pagina html (-!RecOveR!-[5 caratteri casuali]++.Htm)
2. Un file .txt (-!RecOveR!- !-[5 caratteri casuali]++.Txt)
3. Una imagine .png (-!RecOveR!- !-[5 caratteri casuali]++.Png).
1. Una pagina html (-!RecOveR!-[5 caratteri casuali]++.Htm)
2. Un file .txt (-!RecOveR!- !-[5 caratteri casuali]++.Txt)
3. Una imagine .png (-!RecOveR!- !-[5 caratteri casuali]++.Png).
Tutti e tre vengono copiati su quasi
tutte le cartelle del file system.
Una volta criptati i file…
TeslaCrypt 4.1 tenterà continuamente di inviare richieste HTTP POST a 6 differenti URL: l’invio di questi dati (status del PC, l’indirizzo Bitcoin generato in modo casuale e altri dati utili) consentirà agli hacker di tenere sotto controllo la vittima
TeslaCrypt 4.1 tenterà continuamente di inviare richieste HTTP POST a 6 differenti URL: l’invio di questi dati (status del PC, l’indirizzo Bitcoin generato in modo casuale e altri dati utili) consentirà agli hacker di tenere sotto controllo la vittima
Facciamo notare che alcuni siti
specializzati denunciano già la versione 4.1b di TeslaCrypt, le cui differenze
con la 4.1a sono minime. Ne elenchiamo giusto alcune:
1. Modifica le estensioni dei file
in %MyDocuments%\desctop._ini
2. Modifica la dimensione del file di ripristino da 252 a 264
3. Una particolarità: quando TeslaCrypt avrà finito la criptazione, il server C&C invierà un messaggio criptato nel quale, una volta effettuata la decriptazione, compare la versione del TelsaCrypt in questione
2. Modifica la dimensione del file di ripristino da 252 a 264
3. Una particolarità: quando TeslaCrypt avrà finito la criptazione, il server C&C invierà un messaggio criptato nel quale, una volta effettuata la decriptazione, compare la versione del TelsaCrypt in questione
es. Sub=Ping&dh=[PublicKeyRandom1_octet|AES_PrivateKeyMaster]&addr=[bitcoin_address]&size=0&version=4.1b&OS=[build_id]&ID=[?]&inst_id=[victim_id]
Per approfondire la versione 4.1b vedi qui
Nessun commento:
Posta un commento