ATTENZIONE: campagna di attacchi da TeslaCrypt!

Sabato 30 Gennaio è stata lanciata una pesante campagna di infezione tramite e-mail della versione 3.0 di TeslaCrypt verso utenti italiani

Adesso siamo in grado di risolvere alcuni tipi di infezioni da TeslaCrypt! Clicca qui

CHE COSA E’?

Tesclacrypt appartiene alla famiglia dei ransomware, malware che criptano i file, rendendoli illeggibili e che chiedono un riscatto per rimetterli in chiaro. Una volta entro il sistema, TeslaCrypt comincia a chiedere informazioni, incluse immagini, documenti, fogli di calcolo, presentazioni di Powerpoint, database, copie shadow (necessari per la creazione delle copie di backup) e così via.  Una volta che i file sono stati trovati, il malware comincia a criptarli. La soluzione "consigliata" dai cyber-criminali  per riportarli “in chiaro” è tramite l’uso di una chiave privata, che il cyber-criminale promette di concedere dopo il pagamento del riscatto. 

COME INFETTA I PC?
Viene diffuso principalmente per mail, spesso con le seguenti caratteristiche, che segnaliamo al fine di facilitarne il riconoscimento:
-provengono spesso da contatti noti. Molte di queste e-mail sembrano provenire da Enel, Telecom e banche
-come oggetto hanno spesso o il nome del mittente o la data d’invio, oppure l’indicazione di una fattura
-tutte hanno un allegato, qualche volta archivi .zip
-apparentemente l’archivio o il file allegato sembrano note di credito, bollette o fatture.

Il file .zip o gli eventuali allegati contengono un dropper malware, ovvero un programma che “nasconde” al suo interno il codice del ransomware ed è responsabile della trasmissione dello stesso al PC. Aprire la mail NON COMPORTA nessun danno per il PC. Scaricare e aprire l’archivio .zip o il file allegato,  significa invece aprire le porte del nostro PC a Teslacrypt. 

COME SI RICONOSCE?

TeslaCrypt  3.0 cripta sia il contenuto dei file sia il nome degli stessi rendendo impossibile non solo leggerne, ma anche distinguerli tra loro. E’ riconoscibile dal fatto che le estensioni dei file vengono cambiati, spesso, in:  “.XXX”, “.TTT”e “.MICRO”, ".ABC", ".XYZ" ecc.. 

Al termine della criptazione dei file, TeslaCrypt 3.0 lascia nelle cartelle dove sono presenti i file codificati un messaggio. Vi è indicata anche la procedura di pagamento: viene richiesto di installare  Tor Browser, che permette la navigazione anonima,  e di collegarsi ad un sito indicato dove si troverà l’indirizzo Bitcoin verso il quale eseguire il pagamento e le condizioni di pagamento. Se il riscatto non viene celermente pagato, raddoppia dopo pochi giorni dall'infezione.

COME PREVENIRE UN ATTACCO DA TESLACRYPT?
Per prevenire questo attacco consigliamo di utilizzare le soluzioni antivirus Quick Heal Internet Security o Total Security, in quanto dotate di un efficace antispam, e il servizio di backup in cloud Strongbox, che prevede il salvataggio di una nuova copia del file ad ogni modifica avvenuta. Questo metodo garantisce di poter recuperare sempre e comunque i propri file in caso di criptazione