Nuova variante Teslacrypt

Aggiornamento: Rilasciata Master Key per decriptare i files criptati da Teslacrypt.

Una nuova versione 4 del noto ransomware TeslaCrypt è stata rilasciata, questa nuova versione differisce da quella precedente per l’estensione dei files criptati che ora non cambia e per i files di istruzioni

RECOVER+[5-caratteri].png

RECOVER+[5-caratteri].txt,

RECOVER+[5-caratteri].HTML

o

+-HELP-RECOVER-+[5-caratteri]-+.png

+-HELP-RECOVER-+[5-caratteri]-+.txt,

+-HELP-RECOVER-+[5-caratteri]-+.HTML

L’eseguibile del ransomware è un file nascosto situato nella cartella documenti e a differenza delle versioni precedenti non si autocancella dopo aver finito di criptare i files.

Collegandosi al sito fornito nel file di informazione e inserendo il file recover.txt presente nella cartella documenti sarà(?) possibile recuperare i files pagando un riscatto di 500 dollari in bitcoin, gli sviluppatori danno inoltre la possibilità di recuperare gratuitamente un singolo file della dimensione massima di 512 kilobytes. Sconsiglio comunque di pagare il riscatto poichè nessuno vi assicura di ricevere in cambio le chiavi di decriptazione.

tesla3

Appena lanciato, il malware lancia il comando ‘vssadmin delete shadows /all‘ che cancella all’istante le shadow copy presenti nel computer, capita che il comando non vada a buon fine perciò la prima cosa da verificare è la presenza di shadow copy utilizzando l’utility Shadow Copy Viewer. Effettuare inoltre una pulizia accurata del sistema seguendo questa guida.