Nuova ondata per il ransomware TeslaCrypt 3.0

È partita nei giorni scorsi una nuova ondata per il ransomware TeslaCrypt 3.0.
Nuova ondata per il ransomware TeslaCrypt 3.0

È partita nei giorni scorsi una nuova ondata per il ransomware TeslaCrypt 3.0. I ransomware sono virus informatici particolarmente fastidiosi che bloccano i documenti contenuti sui PC infettati, segue una comunicazione con la richiesta di un riscatto per lo sblocco. L’infezione riguarda anche l’Italia.

Il virus arriva per generalmente per e-mail con diversi soggetti e testi e da contatti noti. In passato ransomware come Cryptolocker, Cryptowall e TorrentLocker erano contenuti in invii con fatture o note di credito in allegato o disponibili a un link contenuto nel messaggio di posta elettronica. In seguito si è passati a codici di tracking di corrieri espresso o bollette elettriche e telefoniche.

Nella versione più recente l’e-mail non ha testo se non la data d’invio, talvolta identica a quella inserita nell’oggetto, e ha un allegato .ZIP che contiene un file con estensione .JS (ad esempio invoice_DjzkX0.js o invoice_scan_jWNWc3.js). Lo script, se aperto, implementa la funzione di dropper e scarica il payload che infetta il pc. Se non si apre l’allegato la semplice apertura del testo dell’e-mail non comporta pericoli.

I file crittati hanno estensioni .XXX, .TTT e .MICRO e cambia il metodo con cui viene scambiata la chiave di cifratura. Per le versioni precedenti era stato sviluppato un decrittatore come era avvenuto per CryptoLocker, ma non funziona con questa versione.

Una volta crittati i documenti nelle cartelle dove risiedono i file codificati appaiono i file help_recover_instructions.BMP e help_recover_instructions.TXT. Viene richiesto un riscatto di 500 dollari in bitcoin.

Gli antivirus non sempre si sono rivelati in grado di rilevare l’infezione.

L’anno terribilis del ransomware prosegue.

Categorie
Web & Social

Web strategist, blogger, content curator @PC Professionale.
3 Commenta questo articolo.
  • Maurizio
    8 febbraio 2016 at 12:46
    Rispondi

    Una volta ripulito il pc non riesco a riportare i file all’originale, per cui tutti i file di office e pdf, sono illegibili, anche se li rinomino.

    Vi è una soluzione?

    • Tony Siino
      8 febbraio 2016 at 13:17
      Rispondi

      Purtroppo i file restano crittati anche se si rimuove il file che li ha crittati. :(

  • robber
    11 febbraio 2016 at 13:32
    Rispondi

    Purtroppo anche il pc di un amico è stato infettato dal teslacrypt 3.0 che ha criptato i file e rinominati con l’estensione .micro
    Al momento non ci sono ancora soluzioni per questa versione del virus, ho trovato in rete rimedi per le prime due versioni.
    Ma possono essere anche infettati Mac e Linux?

  • Rispondi

    *

    *

    Iscriviti alla newsletter di Pc Professionale!


    Riceverai solo contenuti editoriali scelti da PcProfessionale.it

    CORRELATI