Nueva variante 2.0 del Ransomware TeslaCrypt

La versión 2.0 del troyano muestra una página HTML en el navegador web que es una copia exacta de CryptoWall 3.0. Tras la infección, el programa malicioso exige un rescate de 500 dólares por la clave del descifrado de la PC infectada; si la víctima se retrasa, el rescate se duplica, según Kaspersky Lab.

Las primeras muestras de TeslaCrypt se detectaron en febrero de 2015 y se ha ido extendiendo desde entonces como una amenaza dirigida a las computadoras de los jugadores. El troyano intenta codificar  archivos típicos de juego (perfiles de usuario, repeticiones recodificados, etc). TeslaCrypt no cifra los archivos que superen los 268 MB y la mayoría de las afectados están en EE.UU, Alemania y España, seguido de Italia, Francia y Reino Unido.

Al infectar a una nueva víctima, TeslaCrypt genera una dirección Bitcoin única para recibir el pago del rescate de la víctima y una clave secreta para retirarlo. Los servidores C&C del troyano se encuentran en la red Tor. La versión del troyano 2.0 utiliza dos llaves: una es única dentro de un sistema infectado, la otra se genera repetidamente cada vez que el programa malicioso se relanza en el sistema. Por otra parte, la clave secreta con la que los archivos de usuario quedan cifrados no se guarda en el disco duro, lo que hace que el proceso de descifrado de los archivos de usuario sea mucho más complicado.

Los programas de TeslaCrypt se propagan a través de exploit kits Angler, Sweet Orange y Nuclear. Este mecanismo de propagación de malware hace que la víctima visite un sitio web infectado y el exploit de código malicioso utiliza vulnerabilidades del navegador, más típicamente en plugins, para instalar el malware en el equipo.

“Está diseñado para engañar e intimidar a los usuarios. Por ejemplo, su versión anterior mostraba un mensaje a la víctima diciendo que sus archivos se cifran con el famoso algoritmo de cifrado RSA-2048 y así demostró que no había otra opción mas que pagar el rescate. En realidad, los ciberdelincuentes no utilizaron este algoritmo. En su última modificación, TeslaCrypt convencía a las víctimas que están tratando con CryptoWall, una vez que cifra los archivos de usuario, no hay manera de descifrarlo”, comentó Fedor Sinitsyn, analista senior de malware de Kaspersky Lab.

Ver informacion original al respecto en Fuente:
http://www.pcworld.com.mx/Articulos/34640.htm

NOTA: Cambios significativos de esta versión:
En primer lugar, han adoptado el sofisticado algoritmo de cifrado de curva elíptica de los creadores del famoso y problemático ransomware CTB-Locker.

En segundo lugar, han cambiado el método de almacenamiento de claves: ahora están utilizando el registro del sistema en lugar de un archivo en el disco.

En tercer lugar, el creador de TeslaCrypt ha robado el sitio web que las víctimas ven después de que sus archivos hayan sido cifrados por otra familia de ransomware, el CryptoWall. Por supuesto, todas las credenciales de pago se cambian, pero el resto del texto, que es muy efectivo desde el punto de vista de “ventas”, se copia. Por cierto, el rescate es muy caro: alrededor de 500 dólares al tipo de cambio actual de bitcoin.

info que ofrece el malware, aparentando ser un Cryptowall 3.0:

distribución actual de dicho ransomware:

saludos

ms, 16-7-2015