VIRUS RAMSOMWARE – TESLACRYPT 3.0

A fine gennaio è stata lanciata, su vasta scala -verso utenti italiani-, una campagna d’infezione del nuovo ransomware TeslaCrypt 3.0 .
Questo nuovo virus ramsomware cripta i vostri file aggiungendo in coda le estensioni .XXX / .TTT /.MICRO e, rispetto alle versioni di TeslaCrypt precedenti, è stata cambiato la metodologia di scambio della chiave di cifratura.
A differenza delle vecchie versioni di TeslaCrypt e di alcune versioni di CryptoLocker, al momento, NON SONO NOTI METODI PER RECUPERARE I DATI!

MODALITA’ di INFEZIONE:

Le email vettore contengono come oggetto il nome del mittente (oppure la data d’invio) e provengono da CONTATTI a noi NOTI.
Non c’è testo nell’email, se non la data d’invio della mail riportata per esteso, talvolta identica a quella inserita nell’oggetto.
Le email hanno tutte un allegato, che spesso si presenta come una finta fattura o una nota di credito; in realtà si tratta di un archivio .ZIP contenente uno script Java, che provvede a scaricare il vero e proprio virus trojan, infettando il PC.
Una volta criptati i documenti il virus lascia un messaggio nelle cartelle dove risiedono i file codificati,(chiamato “help_recover_instructions.BMP” e “help_recover_instructions.txt”) con la richiesta “di riscatto”, pagabile in bitcoin, pari ad una cifra iniziale di 500 USD (cifra che raddoppia dopo alcuni giorni).

COME PROTEGGERSI:

Consigliamo, per chi riceve email con allegati .ZIP/.RAR (anche da contatti noti) di non aprirli, di verificare sempre con molta attenzione l’indirizzo email di provenienza, ed eventualmente, di contattare il mittente per una conferma.

Gli utenti più esperti possono caricare e controllare l’allegato su VirusTotal (https://www.virustotal.com/) oppure su VirScan (http://www.virscan.org/) per verificare se contiene minacce conosciute.

IMMAGINE 1 – Esempio di Email infetta

12670272_1706650429581215_464910782916425168_n

IMMAGINE 2 – Esempio richiesta di riscatto

12654595_1706650476247877_4646784184528155207_n