Lunedì 01 Febbraio 2016
Allarme ransomware in Italia: TeslaCrypt 3.0

Il team Yarix segnala una massiva campagna di ransomware che nelle ultime ore sta mietendo numerose vittime in Italia. Si tratta di TeslaCrypt 3.0, in una variante per la quale attualmente non è possibile recuperare i file criptati.

TeslaCrypt 3.0: allarme nelle ultime ore in Italia per una massiva campagna


Come riconoscere le mail dannose

Si tratta di messaggi di posta elettronica senza testo, che hanno come oggetto la data di invio oppure il nome del mittente. Lo script dannoso si cela nell'archivio .zip allegato, che contiene al suo interno un file javascript (.js) che si presenta come una fattura o nota di credito con nomi formati da caratteri casuali, simili a quelli di seguito riportati:

  • invoice_SCAN_qH7le.js
  • invoice_copy_StXQDm.js
  • invoice_GavJVj.js

TeslaCrypt 3.0: allarme nelle ultime ore in Italia per una massiva campagna

Cliccando sull’allegato si causa il download del trojan TeslaCrypt che infetta il pc codificando il contenuto di alcuni tipi di file di uso comune. In quest'ultima versione, rispetto alle precedenti, è cambiato il metodo con cui viene scambiata la chiave di cifratura.

I file vengono criptati con l'aggiunta in coda delle estensioni .XXX, .TTT o .MICRO e vengono creati dei file sulla falsariga di quelli elencati di seguito, contenenti le istruzioni per il pagamento del riscatto :

  • help_recover_instructions.BMP
  • help_recover_instructions+xjp.txt
  • help_recover_instructions+xso.html

TeslaCrypt 3.0: allarme nelle ultime ore in Italia per una massiva campagna

A tutt'oggi è impossibile recuperare i file crittografati dalla variante 3.0 di TeslaCrypt, ragione per cui raccomandiamo di prestare la massima attenzione nell'apertura delle mail.
Il consiglio per le vittime del ransomware è di non pagare il riscatto (la cifra richiesta è inizialmente pari ai 500 dollari ma raddoppia dopo alcuni giorni), perché non vi è alcuna garanzia di poter recuperare i propri file a seguito del pagamento.

Vedi anche: