TeslaCrypt 2.0 oculta su identidad para exigir un rescate de $500.

El ransomware intenta infectar a los archivos típicos de juegos como perfiles de usuario, almacenamiento de sesión, repeticiones recodificadas.

Kaspersky Lab ha detectado un comportamiento curioso en una nueva amenaza de la familia de cifradores de ransomware TeslaCrypt. En la versión 2.0 del infame troyano por infectar a jugadores de computadora, muestra una página HTML en el navegador que es una copia exacta de CryptoWall 3.0, otro programa de ransomware. Es posible que los delincuentes estén haciendo esto como una declaración de sus intensiones: hasta ahora, muchos archivos cifrados por CryptoWall no han podido ser descifrados, a diferencia de muchos casos anteriores de infección por TeslaCrypt. Después de una infección exitosa, el programa malicioso pide un rescate de $500 por la clave de descifrado; si la víctima no responde rápido, el rescate aumenta al doble.

Las primeras muestras de TeslaCrypt se detectaron en febrero de 2015 y el nuevo troyano que pedía rescate ganó inmediatamente notoriedad como una amenaza para los jugadores de computadora. Entre otros tipos de archivos atacados, el ransomware intenta infectar a los archivos típicos de juegos: perfiles de usuario, almacenamiento de sesión, repeticiones recodificadas, etc. Dicho lo anterior, TeslaCrypt no cifra archivos que sean mayores a 268 MB.

La mayoría de las infecciones por TeslaScrypt ocurren en Estados Unidos, Alemania y España; seguidos por Italia, Francia y el Reino Unido.

Mecanismo de infección

Cuando TeslaCrypt infecta una nueva víctima, genera una nueva dirección singular de Bitcoin para recibir el pago por el rescate que paga la víctima así como una clave secreta para retirarla. Los servidores de comando y control de TeslaCrypt están localizados en la red Tor. La versión 2.0 del Troyano utiliza dos grupos de claves: un grupo es singular dentro de un sistema infectado, el otro se genera de manera repetida cada vez que el programa malicioso se reinicia en el sistema. Además, la clave secreta con la que los archivos del usuario se cifran no se guarda en el disco duro, lo cual hace que el proceso de descifrado de los archivos del usuario sea significativamente más complicado.

 Se observó que los programas de la familia de malware TeslaCrypt se propagaban a través de los kits de exploit Angler, Sweet Orange y Nuclear. Con este mecanismo de propagación del malware, la víctima visita un sitio web infectado y el código malicioso del exploit utiliza las vulnerabilidades del navegador, por lo regular los plug-ins, para instalar el malware dedicado en la computadora objetivo.

 "TeslaCrypt, un cazador de jugadores, está diseñado para engañar e intimidar a los usuarios. Por ejemplo, su versión anterior mostraba un mensaje a la víctima notificando que sus archivos habían sido cifrados con el famoso algoritmo de cifrado RSA-2048, y con ello demostraba que no había más opción que pagar el rescate. En realidad, los ciberdelincuentes no utilizaban dicho algoritmo. En su última modificación, TeslaCrypt convence a las víctimas que están enfrentándose a CryptoWall - una vez que éste cifra los archivos del usuario, no hay manera de descifrarlos. Sin embargo, todos los enlaces dirigen a un servidor de TeslaCrypt - aparentemente, los autores del malware no tienen la intensión de dar el dinero de la víctima a un competidor", dijo Fedor Sinitsyn, Analista Sénior de Malware en Kaspersky Lab.

 Recomendaciones para los usuarios

·  Genere copias de respaldo de todos los archivos importantes de manera regular. Las copias se deben guardar en un medio que físicamente esté desconectado inmediatamente después de realizar la copia de respaldo.

·   Es sumamente importante actualizar el software de manera oportuna, especialmente del navegador y sus plug-ins.

·   En caso que un programa malicioso entre a su sistema, se resolverá mejor con la última versión de un producto de seguridad con bases de datos actualizadas y módulos de seguridad activados.

Los productos de Kaspersky Lab detectan este programa malicioso como Trojan-Ransom.Win32.Bitman.tk, y protegen con éxito a los usuarios contra esta amenaza. Además, se implementa un Subsistema para Contrarrestar el Cryptomalware en las soluciones de Kaspersky Lab. Este subsistema registra la actividad cuando aplicaciones sospechosas intentan abrir los archivos personales del usuario e inmediatamente realiza copias de respaldo protegidas de dichos archivos. Si entonces se determina que la aplicación es maliciosa, automáticamente realiza la reversión de los cambios no solicitados reemplazando aquellos archivos con copias. De esta manera, los usuarios están protegidos incluso de cualquier cryptomalware desconocido. 

La versión completa de este informe está disponible en Securelist.com.