TESLACRYPT crypta i tuoi documenti

In questi giorni si sta diffondendo una nuova versione di TeslaCrypt, con il metodo delle mail provenienti da : Enel, Poste e anche Agenzia delle Entrate.

teslacrypt

I consigli sono sempre i soliti, leggere con attenzione il contenuto delle mail, questo è un’esmpio di qualche giorno fa :

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 269 – 00147 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 600, Art. 140 c.p.c.

Gentile Sig./Sig.ra,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n. 09710923893″ del 25/06/2015 , composto da 2 pagina/e di elenchi contribuenti a nr. 12 atti (Scarica il documento)”

Questa volta il virus non è allegato alla mail ma si richiede di cliccare sul link, e ci si collega ad un sito che contiente il file infetto.

Il virus in quesitone è identificato come “TeslaCrypt 4.0”, che non cambia le estensioni né i nomi dei file criptati, lasciando quindi nome file ed estensione originale. Mentre le versioni precedenti aggiungevano “.micro”, “.mp3”, “.ecc, “.ezz”, “.exx”, “.xyz”, “.zzz”, “.aaa”, “.abc”, “.ccc” o “vvv” al nome del file, questa versione del ransomware TeslaCrypt non permette di capire quali file sono stati criptati, se non analizzandone il contenuto o provando ad aprirli.

Sembra che in questa nuova versione del trojan TeslaCrypt gli autori abbiano corretto alcuni bachi delle precedenti versioni.

per distinguere un file criptato da uno non criptato non è più possibile utilizzare l’estensione (es. cercare tutti i “.micro”) quindi è necessario basarsi sugli header aggiunti al file dal criptovirus. L’header del file, cioè l’intestazione che contiene le informazioni circa la sua cifratura da parte del ransomware, è il seguente ed è essenziale perché i file criptati hanno la stessa estensione di quelli in chiaro

teslacrypt-1

Le cartelle dove il trojan ha criptato dei documenti contengono il messaggio con la richiesta di riscatto in bitcoine un file contenente un recover file:

  • RECOVERrrxec.txt
  • RECOVERrrxec.png
  • RECOVERrrxec.html
  • recover_file.txt

I messaggi html, png e txt contengono la richiesta di riscatto in bitcoin lasciata dal cryptovirus e alcune informazioni circa il tipo di cifratura applicata dal ransomware

Se state chiedendovi come decriptare i file criptati da TeslaCrypt 4.0, al momento non esiste una soluzione certa e soprattutto gratuita. Il tool di BloodDolly – utente del forum BleepingComputer – funziona a patto che si riesca a ottenere la chiave di cifratura, cosa che alcuni ottengono pagando il riscatto in bitcoin, cosa che sconsigliamo vivamente non tanto per l’incertezza di ottenere il decryptor quanto perché non si dovrebbe scendere a compromessi con i delinquenti.

 

Per approfondimenti e soluzioni efficaci per PREVENIRE il rischio di ritrovarsi i propri file cryptati contattateci

Rimini Informatica

TESLACRYPT crypta i tuoi documenti
ultima modifica: 2016-03-26T16:47:07+00:00
da admin

About the Author: admin