martedì 26 aprile 2016

Ransomware Alert! Rilasciato il TeslaCrypt 4.1 (in doppia versione!)




E’ stata rilasciata una versione aggiornata e affinata del TeslaCrypt Ransomware, quella che è stata definita la versione 4.1.


Ecco qui le novità:

1. Capacità potenziate di risultare invisibile ai software antivirus, di offuscamento e di anti-debugging. La funzione antimonitoraggio che il virus ha implementato termina alcuni processi di Windows, tra cui Gestione Attività (taskmgr.exe), Editor del Registro di Sistema (regedit.exe), Processore dei Comandi (cmd.exe), SysInternals Process Explorer (procexp.exe) e Configurazione di Sistema (msconfig.exe).
2. Utilizza (contrariamente a quanto indicato nella nota di riscatto) l’algoritmo di cifratura AES-256
3. Cancella le copie shadow di Windows, per impedire il recupero dei file da backup
4. Cancella l’ADS Zone.Identifier allo scopo di rendere irrintracciabile la sua origine
5. Esegue una copia del proprio eseguibile sull’hard disk e crea una voce di registro che punta a quella copia.


Resta invariata la capacità, già presente nelle vecchie versioni, di modificare la chiave di registro EnableLinkedConnections” allo scopo di rendere accessibili anche ad utenti non amministratori le unità di rete. Questo consente la criptazione di tutti i file, sia quelli presenti sul disco rigido che quelli salvati su altri supporti in rete.


Come si diffonde?

Principalmente si ha notizia della sua diffusione tramite email con allegati in .zip.
Queste mail vengono distribuite a ondate, durante quelle che potremmo definire, vere e proprie campagne di  spam. Questa versione di solito simula le mail di conferma spedizione/ricezione di un pacco.
Se si apre l’allegato in .zip si avvia automaticamente un downloader JavaScript (transaction_wcVSdU.js).
Questo scarica l’allegato 80.exe (contenente il malware) nella directory %TEMP% e lo esegue.








 



E il riscatto?


TeslaCrypt 4.1 utilizza tre metodi di riscatto:
1. Una pagina html (-!RecOveR!-[5 caratteri casuali]++.Htm)
2. Un file .txt (-!RecOveR!- !-[5 caratteri casuali]++.Txt)
3. Una imagine .png (-!RecOveR!- !-[5 caratteri casuali]++.Png).

Tutti e tre vengono copiati su quasi tutte le cartelle del file system.


Una volta criptati i file…
TeslaCrypt 4.1 tenterà continuamente di inviare richieste HTTP POST a 6 differenti URL: l’invio di questi dati (status del PC, l’indirizzo Bitcoin generato in modo casuale e altri dati utili) consentirà agli hacker di tenere sotto controllo la vittima


Facciamo notare che alcuni siti specializzati denunciano già la versione 4.1b di TeslaCrypt, le cui differenze con la 4.1a sono minime. Ne elenchiamo giusto alcune:


1. Modifica le estensioni dei file in %MyDocuments%\desctop._ini 
2. Modifica la dimensione del file di ripristino da 252 a 264 
3. Una particolarità: quando TeslaCrypt avrà finito la criptazione, il server C&C invierà un messaggio criptato nel quale, una volta effettuata la decriptazione, compare la versione del TelsaCrypt in questione

es. Sub=Ping&dh=[PublicKeyRandom1_octet|AES_PrivateKeyMaster]&addr=[bitcoin_address]&size=0&version=4.1b&OS=[build_id]&ID=[?]&inst_id=[victim_id]


Per approfondire la versione 4.1b vedi qui 

Nessun commento:

Posta un commento