• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    TeslaCrypt 4.1: Nueva variante de uno de los más peligrosos ransomwares

    TeslaCrypt 4.1: Nueva variante de uno de los más peligrosos ransomwares El ransomware TeslaCrypt fue visto por primera vez y se analizó a principios del ‬2015, ‬y muy pronto los investigadores crearon una herramienta de ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Mensaje TeslaCrypt 4.1: Nueva variante de uno de los más peligrosos ransomwares

      TeslaCrypt 4.1: Nueva variante de uno de los más peligrosos ransomwares



      El ransomware TeslaCrypt fue visto por primera vez y se analizó a principios del ‬2015, ‬y muy pronto los investigadores crearon una herramienta de descifrado para ello.

      El malware ha alcanzado ya las versiones ‬4.0 ‬y ‬4.1, ‬pero, ‬por desgracia, ‬actualmente no hay manera de descifrar los archivos cifrados, ‬excepto mediante el pago del rescate y la recepción de la clave.

      Uno de los últimos cambios en el software malicioso es que ya no utiliza una extensión de archivos cifrados, ‬lo que ‬la ‬hace más difícil para las víctimas ‬identificar la amenaza ‬(ID ransomware ‬puede ayudarle con eso)‬.

      Otro gran cambio es que TeslaCrypt ya no se entrega solamente a través de paquetes exploits, ‬sino también a través de correos electrónicos no deseados.

      Los investigadores de Endgame ‬detectaron la última de estas campañas de spam: ‬Los ‬mensajes de correo electrónico ‬supuestamente contenían la prueba del enviado ‬de un paquete entregado. ‬Por desgracia, ‬los archivos ZIP adjuntos contenían un archivo JavaScript que es un programa de descarga que utiliza ‬Windows Script Host ‬o wscript para descargar la carga útil* (‬es decir TeslaCrypt) ‬a nivel local.

      Proceso de infección ‬de ‬TeslaCrypt

      El uso de archivos adjuntos maliciosos en JavaScript ‬es el ‬más reciente truco para conseguir que los usuarios infecten sus ordenadores.

      Una vez que el archivo adjunto se descomprime y ejecuta el proceso de infección sigue esta secuencia.



      "‬Durante el cifrado, [‬el malware] ‬genera la clave pública basada en una clave privada encriptada. ‬La ejecución ‬comienza con el cifrado de todos los archivos accesibles [‬con ‬extensiones específicas] ‬finalmente, ‬se muestra la nota de rescate en tres formas: ‬texto, ‬imagen y página web. ‬El archivo binario a continuación, ‬notificará al servidor C2 ‬de la presencia de una nueva víctima "‬, ‬según informaron los investigadores de ‬Endgame.

      Por desgracia, ‬el malware ‬no fue detectado inicialmente por la mayoría de soluciones antivirus.

      "‬TeslaCrypt ‬4.1A es el indicativo de que la tendencia sobre el ransomware se está ampliando. ‬Si bien los objetivos a que van dirigidos son los más altos, el ‬ransomware es cada vez más oportunista sin diferenciar en el objetivo. ‬Estas campañas de spam aleatorios dependen de poder infiltrarse en un muy pequeño porcentaje de los objetivos, ‬pero siguen siendo muy lucrativo dada su dispersión generalizada "‬, ‬señalaron los investigadores.

      "Además, ‬el plazo que dan parece acortarse más entre las variantes, reflejando esto también las tendencias del ransomware en los últimos ‬6-12 ‬meses. ‬La velocidad de actualización entre las variantes se está reduciendo, ‬mientras que la sofisticación va en aumento. ‬Esto hace que la ingeniería inversa del malware sea más onerosa, incluyendo el uso de técnicas de engaño como el ardid de decir que el cifrado es RSA-4096 ‬cuando en realidad era AES-256.
      En resumen, ‬no sólo se utiliza campañas de spam para engañar a los posibles objetivos, ‬sino que TeslaCrypt ‬4.1A también pretende engañar y mantenerse por delante de los investigadores que analizan técnicas de ingeniería inversa "‬.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: TeslaCrypt 4.1: Nueva variante de uno de los más peligrosos ransomwares

      TeslaCrypt definitivamente se muestra como el ransomware que más ha evolucionado, cambiando de versiones, con nuevos métodos de infección, evasión y cifrando cada vez más archivos.


      En esta nueva versión se incluyeron las extensiones de archivos: .bak .bsa .litesql .tiff wallet
      Con la particularidad que justamente los wallet serían los archivos del monedero de Bitcoin, que es la moneda con la cual hay que pagar por el rescate de los archivos cifrados por el ransomware.

      Y en todas estas son todas las extensiones de archivos que TeslaCrypt puede encriptar/cifrar hasta el momento:

      .r3d,.ptx,.pef,.srw,.x3f,.der,.cer,.crt,.pem,.odt,.ods,.odp,.odm,.odc,.odb,.doc,.docx,.kdc,.mef,.mrwref,.nrw,.orf,.raw,.rwl,.rw2,.mdf,.dbf,.psd,.pdd,.pdf,.eps,.jpg,.jpe,.dng,.3fr,.arw,.srf,.sr2,.bay,.crw,.cr2,.dcr,.ai,.indd,.cdr,.erf,.bar,.hkx,.raf,.rofl,.dba,.db0,.kdb,.mpqge,.vfs0,.mcmeta,.m2,.lrf,.vpp_pc,.ff,.cfr,.snx,.lvl,.arch00,.ntl,.fsh,.itdb,.itl,.mddata,.sidd,.sidn,.bkf,.qic,.bkp,.bc7,.bc6,.pkpass,.tax,.gdb,.qdf,.t12,.t13,.ibank,.sum,.sie,.zip,.w3x,.rim,.psk,.tor,.vpk,.iwd,.kf,.mlx,.fpk,.dazip,.vtf,.vcf,.esm,.blob,.dmp,.layout,.meu,.ncf,.sid,.sis,.ztmp,.vdf,.mov,.fos,.sb,.itm,.wmo,.map,.wmo,.svg,.cas,.gho,.syncdb,.mdbackup,.hkdb,.hplg,.hvpl,.icxs,.docm,.wps,.xls,.xlsx,.xlsm,.xlsb,.xlk,.ppt,.pptx,.pptm,.mdb,.accdb,.pst,.dwg,.xf,.dxg,.wpd,.rtf,.wb2,.pfx,.p12,.p7b,.p7c,.txt,.jpeg,.png,.rb,.css,.js,.flv,.m3u,.py,.desc,.xxx,.litesql,wallet,.big,.pak,.rgss3a,.epk,.bik,.slm,.lbf,.sav,.re4,.apk,.bsa,.ltx,.forge,.asset,.litemod,.iwi,.das,.upk,.d3dbsp,.csv,.wmv,.avi,.wma,.m4a,.rar,.7z,.mp4,.sql,.bak,.tiff
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.