Teslacrypt: ondata di attacchi

Attenzione, sabato 30 gennaio 2016 è stata lanciata una pesante campagna d’infezione tramite email con ransomware TeslaCrypt 3.0 verso utenti italiani.

I file vengono criptati aggiungendo in coda le estensioni “.XXX”, “.TTT” e “.MICRO” e rispetto alle versioni di TeslaCrypt precedenti è cambiato il metodo con cui viene scambiata la chiave di cifratura. A differenza di alcune versioni di CryptoLocker e le vecchie versioni di TeslaCrypt, non sono al momento noti metodi per recuperare i propri documenti. BloodDolly, lo sviluppatore che ha prodotto un decryptor per le versioni precedenti di Teslacrypt sta lavorando alla ricerca di un antidoto anche per questa.

Alcune mail vettore contengono come oggetto il nome del mittente oppure la data d’invio e provengono da contatti noti. Non c’è testo nella mail, se non la data d’invio della mail riportata per esteso, talvolta identica a quella inserita nell’oggetto. Le mail hanno tutte un’allegato, consistente in un archivio ZIP che contiene un file con estensione “.JS”. ll file è no script in linguaggio javascript, il cui nome può essere del tipo “invoice_DjzkX0.js” o “invoice_scan_jWNWc3.js”. Lo script, se aperto, causa il download del vero e proprio trojan TeslaCrypt. IL javascript infatti implementa la funzione di dropper, cioè un malware finalizzato a scaricare il vero e propriotrojan, chiamato payload, che infetterà il PC.