Attenzione, sabato 30 gennaio 2016 è stata lanciata una pesante campagna d’infezione tramite email con ransomware TeslaCrypt 3.0 verso utenti italiani. I file vengono criptati aggiungendo in coda le estensioni “.XXX”, “.TTT” e “.MICRO” e rispetto alle versioni di TeslaCrypt precedenti è cambiato il metodo con cui viene scambiata la chiave di cifratura. A differenza di alcune versioni di CryptoLocker e le vecchie versioni di TeslaCrypt, non sono al momento noti metodi per recuperare i propri documenti. BloodDolly, lo sviluppatore che ha prodotto un decryptor per le versioni precedenti di Teslacrypt sta lavorando alla ricerca di un antidoto anche per questa.
Alcune mail vettore contengono come oggetto il nome del mittente oppure la data d’invio e provengono da contatti noti. Non c’è testo nella mail, se non la data d’invio della mail riportata per esteso, talvolta identica a quella inserita nell’oggetto. Le mail hanno tutte un’allegato, consistente in un archivio ZIP che contiene un file con estensione “.JS”. ll file è no script in linguaggio javascript, il cui nome può essere del tipo “invoice_DjzkX0.js” o “invoice_scan_jWNWc3.js”. Lo script, se aperto, causa il download del vero e proprio trojan TeslaCrypt. IL javascript infatti implementa la funzione di dropper, cioè un malware finalizzato a scaricare il vero e propriotrojan, chiamato payload, che infetterà il PC.
Ransomware TeslaCrypt 3.0
Il codice del dropper (il “programma” contenuto nell’allegato ZIP che spesso si presenta come una finta fattura o una nota di credito) non è offuscato e mostra chiaramente la fonte da cui attinge per scaricare il trojan TeslaCrpyt 3.0 sul PC della vittima, infettarla e criptare i documenti. Per quanto pericoloso, il codice viene eseguito soltanto se si apre l’archivio ZIP (in genere cliccandovi sopra con il mouse) e si clicca sul file il cui nome termina con “.JS” al suo interno. La semplice apertura e visualizzazione del testo della mail – in questo caso – non causa l’infezione del PC.
Dropper di TeslaCrypt 3.0Una volta criptati i documenti, il ransomware lascia un messaggio nelle cartelle dove risiedono i file codificati, chiamato “help_recover_instructions.BMP” e “help_recover_instructions.txt” come questo:
help_recover_instructions.bmp
Il testo ove viene richiesto il riscatto in bitcoin è importante perché contiene il riferimento cui è legata la chiave privata necessaria per decriptare i documenti. Lo si trova all’interno dei file con le istruzioni lasciato dal ransomware sul PC e questo ne è un esempio:
__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7
2. http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7
3. http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/72557C51ED3348E7
4. Follow the instructions on the site.
!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7
http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7
http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/72557C51ED3348E7
!!! Your personal identification ID: 72557C51ED3348E7
——————————————————————————————————–
All’indirizzo segnalato dal ransomware si troverà una pagina che ricicla parte del codice e grafica CryptoWall e si presenta con uno sfondo blu e il solito testo che comunica l’indirizzo Bitcoin verso il quale eseguire il versamento e le condizioni di pagamento. Dalla stessa pagina, le vittime che pagano il riscatto scaricheranno decryptor, il software per decriptare i propri documenti.
Sito onion su Tor di TeslaCrypt 3.0 con grafica Cryptowall
Il consiglio per le vittime è ovviamente di non pagare il riscatto, che viene richiesto in bitcoin per una cifra iniziale di 500 dollari che raddoppia dopo alcuni giorni. Per essere certi di rimuovere l’infezione è preferibile ripulire e reinstallare il sistema, anche se diversi antivirus rilevano e sono in grado di rimuovere il trojan. Se siete già stati infettati, potete contattarci inviandoci un campione dell’infezione per finalità di studio utilizzando le indicazioni fornite nella pagina delle segnalazioni.
Il consiglio per chi riceve email con allegati ZIP, anche da contatti noti, è come al solito quello di non aprirli ed eventualmente contattare il mittente oppure caricare l’allegato su VirusTotal oppure VirScan per verificare se esistono antivirus che rilevano una potenziale minaccia.
Per chi volesse analizzare i campioni del ransomware TeslaCrypt 3.0 inviati durante questa campagna d’infezione o bloccare il sito da cui viene scaricato il payload, forniamo alcuni link:
DROPPER: invoice_DjzkX0.js
https://www.virustotal.com/en/file/ea83f58ba3184f42673bfdff2518520b9691d7cb10451914edaef5e51abc6d50/analysis/1454144003
https://malwr.com/analysis/ZGM4YWYyODgwMDYyNGU4NThhMGU3YmYyMTYwNGYwZTg
https://www.hybrid-analysis.com/sample/ea83f58ba3184f42673bfdff2518520b9691d7cb10451914edaef5e51abc6d50?environmentId=4
PAYLOAD: 93.zip
Viene scaricato dal dropper dai domini skuawill.com e skuawillbil.com, registrati tramite Key-Systems GmbH e WebNic, con record DNS A verso gli IP 191.101.251.155, 162.221.176.52, 173.82.74.197 e 37.123.101.74
https://www.virustotal.com/en/file/0d036a5f5d6b64b64ddee327c8a5c02ce5a8a9ebef46419a65e58884e093aea3/analysis/
https://malwr.com/analysis/MGI5ZWJiY2YwZDY2NDY5OWJkYzZmNWE5ZTU4MTM2YjM/
https://www.hybrid-analysis.com/sample/0d036a5f5d6b64b64ddee327c8a5c02ce5a8a9ebef46419a65e58884e093aea3?environmentId=1