La maggior parte delle infezioni di TeslaCrypt sono avvenute negli Stati Uniti, Germania e Spagna; seguiti da Italia, Francia e Regno Unito.
Kaspersky Lab ha rilevato un comportamento anomalo in una nuova minaccia appartenente alla famiglia di encryptor ransomware TeslaCrypt. Nella versione 2.0 del Trojan, conosciuto per aver infettato principalmente i gamer di videogiochi online, viene visualizzata una pagina HTML nel browser web, che consiste in una copia esatta di CryptoWall 3.0, un altro noto programma ransomware. E’ probabile che i criminali con questa azione stiano siglando una dichiarazione di intenti: finora, molti file crittografati CryptoWall non possono essere decifrati, a differenza dei numerosi casi di infezione TeslaCrypt del passato. Come conseguenza dell’infezione, il programma nocivo chiede un riscatto di 500 dollari per ottenere la chiave di decrittazione e più tempo passa senza che la vittima paghi il riscatto più questo raddoppia.
I primi sample di TeslaCrypt sono stati scoperti nel febbraio 2015 ed il nuovo ransomware Trojan è diventato famoso tra le minacce rivolte ai gamer. Tra gli altri file obiettivo della minaccia sono inclusi file legati al gaming: tra cui salvataggi di partite, profili utente e replay decodificati. TeslaCrypt non cripta file che superano i 268 MB.
Meccanismo di infezione
Quando TeslaCrypt miete una nuova vittima, genera un indirizzo Bitcoin esclusivo per ricevere il pagamento del riscatto oltre ad una chiave segreta per riscuoterlo. I server di C&C di TeslaCrypt sono situati nella rete Tor. La versione 2.0 del Trojan utilizza 2 set di chiavi: uno di tipo esclusivo all’interno di un sistema infetto mentre l’altro generato ripetutamente ogni volta che il programma viene rilanciato. Inoltre la chiave segreta con la quale i file utente vengono criptati non viene salvata sul disco rigido, il che rende il processo di decodificazione molto più complesso.
E’ stato riscontrato che la famiglia di malware TeslaCrypt si propaga attraverso i kit exploit Angler, Sweet Orange e Nuclear. Il meccanismo di propagazione si innesca quando la vittima visita un sito infetto e il codice exploit dannoso, utilizzando le vulnerabilità del browser – in particolar modo i plugin – installa il malware sul computer della vittima.
“TeslaCrypt, un cacciatore di gamer, è progettato per ingannare e intimidire gli utenti. La sua versione precedente inviava un messaggio nel quale la vittima veniva avvertita che i suoi file erano stati criptati dal famoso algoritmo di crittografia RSA-2048 e questo voleva dire che non c’era possibilità di pagare il riscatto. In realtà, i cyber criminali non utilizzano questo algoritmo. Nella sua più recente versione, TeslaCrypt induce le vittime a pensare che hanno a che fare con CryptoWall – il quale una volta che ha criptato i file dell’utente non consente in alcun modo di decifrarli.Tuttavia, tutti i link portano ad un server TeslaCrypt – questo fa pensare che gli autori del malware non hanno alcuna intenzione di donare il denaro delle proprie vittime ad un concorrente”, ha dichiarato Morten Lehn, Managing Director di Kaspersky Lab Italia.
Consigli per gli utenti
•Creare regolarmente delle copie di backup dei file più importanti. Il supporto su cui vengono fatte le copie dovrebbe essere disconnesso subito dopo che la copia di backup risulta completata.
•Aggiornare il software regolarmente, in particolare il browser e i suoi plug-in.
•Aggiornare la soluzione di sicurezza all'ultima versione disponibile con i database aggiornati e i moduli di sicurezza attivati.
I prodotti Kaspersky Lab rilevano questo programma nocivo come Trojan-Ransom.Win32.Bitman.tk e proteggono gli utenti contro questa minaccia. Inoltre, nelle soluzioni di Kaspersky Lab è implementato Cryptomalware Countermeasure Subsystem che registra l'attività quando applicazioni sospette tentano di aprire i file personali di un utente e crea prontamente delle copie locali protette. Se l'applicazione viene poi giudicata dannosa, effettua un’operazione di rollback automatico delle modifiche indesiderate sostituendo i file con le copie. In questo modo, gli utenti vengono protetti anche dai cryptomalware ancora sconsociuti.
Una versione completa del report è disponibile su Securelist.com
Kaspersky Lab lavora rigorosamente per proteggere gli utenti della rete contro i ransomware. Nel mese di aprile, in collaborazione con The National High Tech Crime Unit dei Paesi Bassi, la società ha lanciato il sito web The Ransomware Decryptor che aiuta le vittime del famigerato ransomware CoinVault a recuperare i propri dati senza pagare alcun riscatto ai criminali.
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata di sicurezza informatica ed è una delle aziende che opera in questo settore con il maggior tasso di crescita. L’azienda si posiziona tra i primi quattro vendor di soluzioni di sicurezza informatica al mondo (IDC,2014). Sin dal 1997, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT e servizi di threat intelligence per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab è una società di livello internazionale che opera in 200 paesi e protegge oltre 400 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
Google Plus: https://plus.google.com/+KasperskyItKL
LinkedIn: https://www.linkedin.com/kasperskylabitalia
.jpg)
