TeslaCrypt Ransomware

TeslaCrypt Ransomware Descrizione

TeslaCrypt è un'infezione ransomware che utilizza la crittografia AES per crittografare i file delle vittime. TeslaCrypt richiede quindi che la vittima paghi un riscatto di $ 500 USD in BitCoin o $ 1000 USD utilizzando le carte PayPal My Cash. Gli analisti della sicurezza dei PC hanno notato che TeslaCrypt è diverso da altri recenti attacchi rasomware in quanto TeslaCrypt autorizza le vittime a pagare utilizzando un'alternativa a BitCoin, che consente a TeslaCrypt di raggiungere un più ampio gruppo potenziale di vittime. Le carte PayPal My Cash possono essere acquistate nei negozi negli Stati Uniti, chiarendo che TeslaCrypt è progettato per attaccare principalmente gli utenti di computer negli Stati Uniti. Tuttavia, è più probabile che PayPal possa confiscare questi tipi di profitti, il che significa che TeslaCrypt richiede il doppio per questi tipi di pagamenti. Questo è uno dei motivi per cui questi attacchi non utilizzano pagamenti con carta di credito o metodi simili poiché sarebbe troppo facile rintracciarli.

Gli analisti della sicurezza dei PC hanno notato che, a differenza di altri tipi di ransomware, TeslaCrypt prende di mira specificamente i file dei videogiochi. Molti trojan ransomware crittografano tutti i file di documenti sul computer della vittima, dai documenti di elaboratore di testi alle immagini. TeslaCrypt presta particolare attenzione ai giochi popolari come Minecraft, World of Warcraft e Steam. TeslaCrypt può scegliere come target più di cinquanta videogiochi diversi sui computer della vittima. Ciò indica il fatto che terze parti stanno tentando di sfruttare la qualità di dipendenza e il dispendio di tempo coinvolti in questi giochi per aumentare la probabilità che le vittime paghino il riscatto per riottenere l'accesso ai loro giochi preferiti. Gli esperti di sicurezza per PC consigliano agli utenti di PC di proteggere le loro macchine dagli attacchi TeslaCrypt.

Il Trojan TeslaCrypt Ransomware prenderà in ostaggio i tuoi file

TeslaCrypt è minaccioso in quanto TeslaCrypt attacca direttamente i computer. A differenza dei PUP (programmi potenzialmente indesiderati) che possono limitarsi a visualizzare pubblicità irritanti o dei ransomware Winlocker che possono semplicemente provare ad allarmare gli utenti di computer inesperti facendogli credere che le loro macchine siano state bloccate da una terza parte, TeslaCrypt crittografa i file della vittima e li conserva file per il riscatto fino a quando non si verifica la transazione di denaro.

Il ransomware, come suggerisce il nome, implica prendere in ostaggio i file della vittima e trattenerli in cambio di un riscatto. Essenzialmente, TeslaCrypt scansionerà un computer alla ricerca di file con estensioni popolari come DOC, 7Z, RAR, M4A, ecc. Quindi, TeslaCrypt crittograferà i file utilizzando un algoritmo di crittografia AES. Non c'è modo di decrittografare questi file senza ottenere quella chiave di decrittazione univoca, rendendo questi tipi di attacchi particolarmente irritanti. Come parte del suo attacco, TeslaCrypt creerà file .TXT denominati HELP_TO_DECRYPT_YOUR_FILES.txt e cambierà l'immagine desktop della vittima in un banner che recita come segue:

I tuoi file personali sono crittografati!
I tuoi file sono stati crittografati in modo sicuro su questo PC: foto, video, documenti, ecc. Fai clic sul pulsante "Mostra file crittografati" per visualizzare un elenco completo dei file crittografati e puoi verificarlo personalmente.
La crittografia è stata prodotta utilizzando una chiave pubblica univoca RSA-2048 generata per questo computer. Per decrittografare i file è necessario ottenere la chiave privata.

File noti interessati da TeslaCrypt:

.7z, .map, .m2, .rb, .jpg, .rar, .wmo, .mcmeta, .png, .cdr, .m4a, .itm, .vfs0, .jpeg, .indd, .wma, .sb , .mpqge, .txt, .ai, .avi, .fos, .kdb, .p7c, .eps, .wmv, .mcgame, .db0, .p7b, .pdf, .csv, .vdf, .DayZProfile,. p12, .pdd, .d3dbsp, .ztmp, .rofl, .pfx, .psd, .sc2save, .sis, .hkx, .pem, .dbfv, .sie, .sid, .bar, .crt, .mdf, .sum, .ncf, .upk, .cer, .wb2, .ibank, .menu, .das, .der, .rtf, .t13, .layout, .iwi, .x3f, .wpd, .t12, .dmp , .litemod, .srw, .dxg, .qdf, .blob, .asset, .pef, .xf, .gdb, .esm, .forge, .ptx, .dwg, .tax, .001, .ltx,. r3d, .pst, .pkpass, .vtf, .bsa, .rw2, .accdb, .bc6, .dazip, .apk, .rwl, .mdb, .bc7, .fpk, .re4, .raw, .pptm, .bkp, .mlx, .sav, .raf, .pptx, .qic, .kf, .lbf, .orf, .ppt, .bkf, .iwd, .slm, .nrw, .xlk, .sidn, .vpk , .bik, .mrwref, .xlsb, .sidd, .tor, .epk, .mef, .xlsm, .mddata, .psk, .rgss3a, .erf, .xlsx, .itl, .rim, .pak,. kdc, .xls, .itdb, .w3x, .big, .dcr, .wps, .icxs, .fsh, .unity3d, .cr2, .docm, .hvpl, .ntl, .wotreplay, .crw, .docx, .hplg, .arch00, .xxx, .ba y, .doc, .hkdb, .lvl, .desc, .sr2, .odb, .mdbackup, .snx, .py, .srf, .odc, .syncdb, .cfr, .m3u, .arw, .odm, .gho, .ff, .flv, .3fr, .odp, .cas, .vpp, _pc, .js, .dng, .ods, .svg, .lrf, .css, .jpe, .odt

TeslaCrypt affermerà che la vittima ha solo tre giorni per effettuare il pagamento e consentirà alla vittima di decrittografare un solo file gratuitamente come prova che può eseguire l'attività. TeslaCrypt può essere distribuito utilizzando i tipici metodi di consegna delle minacce. Ciò significa che l'uso di un potente software di sicurezza e abitudini di sicurezza online comuni possono prevenire questi tipi di attacchi. Gli analisti della sicurezza dei PC sconsigliano vivamente di pagare la multa di TeslaCrypt. Ciò incoraggia terze parti e finanzia le loro attività, e gli utenti di computer non possono fidarsi di persone malintenzionate per mantenere la parola e fornire la chiave di decrittazione. A volte è possibile ripristinare alcuni file utilizzando Shadow Explorer e altri strumenti specializzati. La prevenzione e l'uso di backup off-site per ripristinare correttamente i file crittografati sono la migliore linea d'azione quando si tratta di minacce ransomware.