Η τρέχουσα έκδοση του TeslaCrypt δεν μπορεί να αποκρυπτογραφηθεί
Ερευνητές ασφάλειας έχουν εντοπίσει μια εξελιγμένη παραλλαγή του διαβόητου ransomware TeslaCrypt, η οποία διανέμεται μέσω μιας καλά οργανωμένης εκστρατείας spam.
Η απειλή επισημάνθηκε αρχικά από χρήστες του Bleeping Computer forum, όπου αναφέρθηκαν αρκετά περιστατικά μολύνσεων με αγνώστου ταυτότητας ransomware. Έπειτα από περαιτέρω ανάλυση, οι ερευνητές κατέληξαν στο συμπέρασμα ότι πρόκειται για την νέα έκδοση του TeslaCrypt ransomware, η οποία φέρει αλλαγές στον κώδικά της εμποδίζοντας τους χρήστες από το να χρησιμοποιήσουν το TeslaDecoder για την αποκρυπτογράφηση των αρχείων τους.
[alert variation=”alert-success”]To ΤeslaDecoder είναι ένα δωρεάν εργαλείο αποκρυπτογράφησης για τα θύματα του TeslaCrypt το οποίο έχει κυκλοφορήσει από την BloodDolly.[/alert]
Σύμφωνα με την Heimdal Security, την εταιρεία που ανέλυσε την κακόβουλη καμπάνια spam, οι περισσότερες μολύνσεις εντοπίζονται σε Ευρωπαϊκές χώρες – και κυρίως στις Σκανδιναβικές.
Η εκστρατεία βασίζεται στην αποστολή ειδικά διαμορφωμένων email, τα οποία περιέχουν ως συνημμένο ένα αρχείο ZIP και ζητούν από τους παραλήπτες να διευθετήσουν μια υποτιθέμενη πληρωμή. Βασιζόμενοι στο θέμα της απάτης (εξόφληση τιμολογίων), οι ερευνητές εκτιμούν ότι οι επιτιθέμενοι δεν στοχεύουν σε απλούς χρήστες, αλλά κυρίως σε επιχειρήσεις.
Το αρχείο ZIP που περιέχεται στα emails περιέχει ένα JavaScript file, το οποίο αφού αποσυμπιεστεί και εκτελεσθεί, επικοινωνεί με τον C&C εξυπηρετητή και κατεβάζει το TeslaCrypt ransomware σε μορφή εκτελέσιμου αρχείου (.exe).
Η συγκεκριμένη έκδοση του ransomware κρυπτογραφεί τα αρχεία των θυμάτων σε αρχεία με extensions .vvv ή .zzz και στη συνέχεια απαιτεί την καταβολή λύτρων σε Bitcoins για την αποκρυπτογράφησή τους, μέσω μιας σελίδας που φιλοξενείται σε .onion domain στο Dark Web.
