SHOP ONLINE
SUPPORTO TECNICO

Euro Informatica

  • Chi Siamo
    • Chi Siamo
    • Case Study
      • Cereal Docks – Case Study
      • Morato Pane – Case Study
    • Mission
    • La Storia
    • Company Profile
    • Certificazioni
      • Certificazioni ISO
      • Rating di legalità
      • Cyber Security Made in Europe
    • Responsabilità sociale
    • Partners
  • Aree di competenza
    • Infrastruttura
    • Servizi gestiti
    • Servizi a valore
    • Servizi cloud
    • Operation Center
    • Sicurezza
    • Cyberteam
    • Academy
  • News
    • Euronews
    • Eventi e Webinar
    • Cybernews
  • Lavora con noi
  • Sedi e contatti
  • Cyberteam
giovedì, 28 Aprile 2016 / Pubblicato il Alert

TeslaCrypt

Una nuova variante di TeslaCrypt, la 4.1a, è in circolazione da pochi giorni: rispetto ai suoi predecessori, questa variante presenta caratteristiche avanzate di offuscamento, anti-debugging e anti-AV ed è in grado di cifrare nuovi tipi di file con le seguenti estensioni:
.7z, .apk, .asset, .avi, .bak, .bik, .bsa, .csv, .d3dbsp, .das, .forge, .iwi, .lbf, .litemod, .litesql, .ltx, .m4a, .mp4, .rar, .re4, .sav, .slm, .sql, .tiff, .upk, .wma, .wmv, .wallet

TeslaCrypt 4.1a utilizza AES-256 per la cifratura dei file (non RSA-4096 come dichiarato nella nota di riscatto) e cancella le copieshadow di Windows per impedire il recupero dei file. Come per le precedenti versioni, questo ransomware viene distribuito come allegato con estensione .zip a messaggi di Email nell’ambito di vaste campagne di spam, di solito mascherato da notifica di consegna di un pacco. Se la vittima apre l’allegato malevolo, viene eseguito automaticamente.

Il ransomware implementa anche una funzione anti-monitoraggio che termina diversi processi di Windows, tra cui Gestione Attività (taskmgr.exe), Editor del Registro di Sistema (regedit.exe), Processore dei Comandi (cmd.exe), SysInternals Process Explorer (procexp.exe) e Configurazione di Sistema (msconfig.exe).
Per mantenere la persistenza sul sistema, questa variante di TeslaCrypt effettua una copia del proprio eseguibile sul disco rigido e crea una voce di Registro che punta alla copia. Inoltre, il malware imposta anche la chiave di Registro EnableLinkedConnections allo scopo di rendere accessibili le unità di rete anche agli utenti non amministratori, consentendo la cifratura dei file, oltre che sul disco rigido, anche sulle condivisioni di rete. Quest’ultima tecnica è comune a tutte le varianti di TeslaCrypt.
La richiesta di riscatto viene visualizzata utilizzando 3 metodi: pagina HTML, file di testo, immagine PNG.
Esempio:

Se TeslaCrypt 4.1a riesce a cifrare correttamente i file sul sistema, avvia una routine di callback che tenta di inviare richieste HTTPPOST a sei differenti URL. I dati inviati consentono agli attaccanti di tenere traccia delle loro vittime e includono informazioni sulla configurazione del PC, la versione del malware, un indirizzo Bitcoin generato in modo casuale e altre informazioni necessarie a ricostruire la chiave per recuperare i file cifrati. A dimostrazione della rapidità con cui questo tipo di malware si evolve e si diffonde, Bleeping Computer ha pubblicato un post relativo ad un’altra variante di TeslaCrypt, la 4.1b, che presenta minime differenze rispetto a quella sopra descritta.

Articoli recenti

  • CyberSecurity e CyberFuturo 2023

    Una chiacchierata online per fare il riassunto ...
  • Un business game per imparare a gestire un’impresa sostenibile

    Euro Informatica SpA è orgogliosa di esser...
  • Euro Informatica SpA annuncia il rinnovamento del proprio portale di e-commerce

    Euro Informatica SpA annuncia il rinnovamento d...
  • Euro Informatica Silver Sponsor al doppio evento HackInBo Business e Winter Edition 2022

    Anche quest’anno Euro Informatica Sp...
  • Euro Informatica Silver Sponsor al doppio evento HackInBo Business e Winter Edition 2022

    Anche quest’anno Euro Informatica Sp...

CENTRALINO UNIFICATO:
Tel. 0444 268150 - Fax 0444 268170

E-MAIL PEC:
[email protected]

E-MAIL:
[email protected]

E-COMMERCE:
www.euroinformatica.eu

Sede principale
Sandrigo (VI)
Viale della Repubblica 63/4
vedi sulla mappa

Sede Nord Ovest - Lombardia
Concorezzo (MB)
Via F. Magellano, 6
vedi sulla mappa

Ufficio territoriale - Veneto
Verona
Via Roveggia, 122/A
vedi sulla mappa

  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY PRIVATI - PRIVACY FORNITORI - PRIVACY CANDIDATI

TORNA SU
  • Shop online
  • Contattaci
  • Supporto tecnico
  • Cyberteam