El ransomwareTeslaCrypt 4 ahora cuenta con cifrado irrompible y es aún más peligroso para las víctimas



Hoy en día se está hablando del cifrado irrompible de Apple y que es bueno para la privacidad, pero para el FBI no. El argumento sobre la privacidad sin duda es muy bueno, pero el cifrado fuerte también puede ser utilizado como un arma, como lo demuestran los innumerables ejemplos de ransomware. Hay numerosas variantes de ransomware por ahí, pero uno de los más prolíficos es TeslaCrypt.


Al año desde su primera versión de TeslaCrypt que apareció en escena, ha recibido varias actualizaciones e iteraciones en los meses siguientes. Ahora está disponible la versión 4 y además de continuar con amenazar a las víctimas de compartir sus archivos en línea, también cuenta con lo que se conoce como "cifrado irrompible '.

Heimdal Security advierte que no sólo es el ransomware más potente que nunca se ha visto, sino que también ha sido parcheado con una serie de correcciones de errores. Esto significa que ahora está mejor equipado para tratar con archivos muy grandes, mientras que el uso de encriptación RSA 4096 significa que la recuperación de los datos es completamente imposible. Especialistas de Heimdal Security afirman que la herramienta anteriormente fiable TeslaDecoder ahora es inútil.

Hasta ahora, los archivos de más de 4 GB se dañaban cuando eran codificados. Pero ahora con la mejora recibida, esto ya no es un obstáculo para los atacantes.

En el caso de estar en riesgos los datos, sólo quedan dos opciones: restaurar los datos desde una copia de seguridad segura o para pagar el rescate (que no se recomienda).

La última versión del ransomware envia aún más información al servidor remoto que en versiones anteriores. Heimdal Security dice:

Una vez que se ejecuta el código malicioso, los atacantes pueden extraer incluso más datos que antes de la máquina local. Los datos recolectados se compilan en una clave única, mientras que, al mismo tiempo, el ransomware sumara la PC afectada en una red central de bots.

Los datos recogidos incluyen: 'MachineGuid' (un identificador único correspondiente a cada PC), 'DigitalProductId' (la clave del sistema operativo Windows) y 'SystemBiosDate' (la hora actual del equipo infectado).

Al igual que en la campaña anterior, TeslaCrypt 4 se dispersa a través de ataques drive-by llevado a cabo utilizando la infraestructura del kit exlpoit Angler. Más de 600 dominios de difusión de Angler se han bloqueado hoy en día y el promedio diario se prevé que aumente a un máximo de 1200 dominios por día.

La velocidad con la que se está desarrollando TeslaCrypt es preocupante, y parece casi imposible que las herramientas anti-malware puedan mantener su ritmo. En el caso de infección, el único recurso real es recurrir a una copia de seguridad, por lo que el consejo es asegurarse de que exista y se mantenga actualizado. Por supuesto, que esto no hace nada por mitigar el daño después de la filtración de los datos privados, si pertenece a un individuo o una empresa.

Fuente: BetaNews