Nueva variante 2.0 del Ransomware TeslaCrypt

La versión 2.0 del troyano muestra una página HTML en el navegador web que es una copia exacta de CryptoWall 3.0. Tras la infección, el programa malicioso exige un rescate de 500 dólares por la clave del descifrado de la PC infectada; si la víctima se retrasa, el rescate se duplica, según Kaspersky Lab.

Las primeras muestras de TeslaCrypt se detectaron en febrero de 2015 y se ha ido extendiendo desde entonces como una amenaza dirigida a las computadoras de los jugadores. El troyano intenta codificar  archivos típicos de juego (perfiles de usuario, repeticiones recodificados, etc). TeslaCrypt no cifra los archivos que superen los 268 MB y la mayoría de las afectados están en EE.UU, Alemania y España, seguido de Italia, Francia y Reino Unido.

Al infectar a una nueva víctima, TeslaCrypt genera una dirección Bitcoin única para recibir el pago del rescate de la víctima y una clave secreta para retirarlo. Los servidores C&C del troyano se encuentran en la red Tor. La versión del troyano 2.0 utiliza dos llaves: una es única dentro de un sistema infectado, la otra se genera repetidamente cada vez que el programa malicioso se relanza en el sistema. Por otra parte, la clave secreta con la que los archivos de usuario quedan cifrados no se guarda en el disco duro, lo que hace que el proceso de descifrado de los archivos de usuario sea mucho más complicado.

Los programas de TeslaCrypt se propagan a través de exploit kits Angler, Sweet Orange y Nuclear. Este mecanismo de propagación de malware hace que la víctima visite un sitio web infectado y el exploit de código malicioso utiliza vulnerabilidades del navegador, más típicamente en plugins, para instalar el malware en el equipo.

“Está diseñado para engañar e intimidar a los usuarios. Por ejemplo, su versión anterior mostraba un mensaje a la víctima diciendo que sus archivos se cifran con el famoso algoritmo de cifrado RSA-2048 y así demostró que no había otra opción mas que pagar el rescate. En realidad, los ciberdelincuentes no utilizaron este algoritmo. En su última modificación, TeslaCrypt convencía a las víctimas que están tratando con CryptoWall, una vez que cifra los archivos de usuario, no hay manera de descifrarlo”, comentó Fedor Sinitsyn, analista senior de malware de Kaspersky Lab.

Ver informacion original al respecto en Fuente:
http://www.pcworld.com.mx/Articulos/34640.htm

 

 

NOTA: Cambios significativos de esta versión:
En primer lugar, han adoptado el sofisticado algoritmo de cifrado de curva elíptica de los creadores del famoso y problemático ransomware CTB-Locker.

En segundo lugar, han cambiado el método de almacenamiento de claves: ahora están utilizando el registro del sistema en lugar de un archivo en el disco.

En tercer lugar, el creador de TeslaCrypt ha robado el sitio web que las víctimas ven después de que sus archivos hayan sido cifrados por otra familia de ransomware, el CryptoWall. Por supuesto, todas las credenciales de pago se cambian, pero el resto del texto, que es muy efectivo desde el punto de vista de “ventas”, se copia. Por cierto, el rescate es muy caro: alrededor de 500 dólares al tipo de cambio actual de bitcoin.

info que ofrece el malware, aparentando ser un Cryptowall 3.0:


distribución actual de dicho ransomware:

 

 

saludos

ms, 16-7-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies