Nuova ondata di ransomware Teslacrypt 3.0

Attenzione, sabato 30 gennaio 2016 è stata lanciata una pesante campagna d’infezione tramite email con ransomware TeslaCrypt 3.0 verso utenti italiani. I file vengono criptati aggiungendo in coda le estensioni “.XXX”, “.TTT” e “.MICRO” e rispetto alle versioni di TeslaCrypt precedenti è cambiato il metodo con cui viene scambiata la chiave di cifratura. A differenza di alcune versioni di CryptoLocker e le vecchie versioni di TeslaCrypt, non sono al momento noti metodi per recuperare i propri documenti. BloodDolly, lo sviluppatore che ha prodotto un decryptor per le versioni precedenti di Teslacrypt sta lavorando alla ricerca di un antidoto anche per questa.

Alcune mail vettore contengono come oggetto il nome del mittente oppure la data d’invio e provengono da contatti noti. Non c’è testo nella mail, se non la data d’invio della mail riportata per esteso, talvolta identica a quella inserita nell’oggetto. Le mail hanno tutte un’allegato, consistente in un archivio ZIP che contiene un file con estensione “.JS”. ll file è no script in linguaggio javascript, il cui nome può essere del tipo “invoice_DjzkX0.js” o “invoice_scan_jWNWc3.js”. Lo script, se aperto, causa il download del vero e proprio trojan TeslaCrypt. IL javascript infatti implementa la funzione di dropper, cioè un malware finalizzato a scaricare il vero e propriotrojan, chiamato payload, che infetterà il PC.

Il codice del dropper (il “programma” contenuto nell’allegato ZIP che spesso si presenta come una finta fattura o una nota di credito) non è offuscato e mostra chiaramente la fonte da cui attinge per scaricare il trojan TeslaCrpyt 3.0 sul PC della vittima, infettarla e criptare i documenti. Per quanto pericoloso, il codice viene eseguito soltanto se si apre l’archivio ZIP (in genere cliccandovi sopra con il mouse) e si clicca sul file il cui nome termina con “.JS” al suo interno. La semplice apertura e visualizzazione del testo della mail – in questo caso – non causa l’infezione del PC.

Una volta criptati i documenti, il ransomware lascia un messaggio nelle cartelle dove risiedono i file codificati, chiamato “help_recover_instructions.BMP” e “help_recover_instructions.txt” come questo:

Il testo ove viene richiesto il riscatto in bitcoin è importante perché contiene il riferimento cui è legata la chiave privata necessaria per decriptare i documenti. Lo si trova all’interno dei file con le istruzioni lasciato dal ransomware sul PC e questo ne è un esempio:

__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7
2. http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7
3. http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/72557C51ED3348E7
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7
http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7
http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/72557C51ED3348E7
!!! Your personal identification ID: 72557C51ED3348E7
——————————————————————————————————–

All’indirizzo segnalato dal ransomware si troverà una pagina che ricicla parte del codice e grafica CryptoWall e si presenta con uno sfondo blu e il solito testo che comunica l’indirizzo Bitcoin verso il quale eseguire il versamento e le condizioni di pagamento. Dalla stessa pagina, le vittime che pagano il riscatto scaricheranno decryptor, il software per decriptare i propri documenti.

Alcuni utenti hanno segnalato che, invece della pagina di richiesta del riscatto da pagare per decriptare i documenti, all’indirizzo visitato tramite Tor Browser compare la scritta “If login was unsuccessful few times in a row, please upload “recover_file_xxxxx.txt” file located in “My Documents” folder. If something is going wrong – please visit this site later, in 10-12 hours.“. Non è chiaro se il problema è che è stato interrotto il processo di encryption del ransomware o siano problemi lato server Command & Control.

In ogni caso, il consiglio per le vittime è ovviamente di non pagare il riscatto, che viene richiesto in bitcoin per una cifra iniziale di 500 dollari che raddoppia dopo alcuni giorni. Per essere certi di rimuovere l’infezione è preferibile ripulire e reinstallare il sistema, anche se diversi antivirus rilevano e sono in grado di rimuovere il trojan. Se siete già stati infettati, potete contattarci inviandoci un campione dell’infezione per finalità di studio utilizzando le indicazioni fornite nella pagina delle segnalazioni.

Il consiglio per chi riceve email con allegati ZIP, anche da contatti noti, è come al solito quello di non aprirli ed eventualmente contattare il mittente oppure caricare l’allegato su VirusTotal oppure VirScan per verificare se esistono antivirus che rilevano una potenziale minaccia.

Per chi volesse analizzare i campioni del ransomware TeslaCrypt 3.0 inviati durante questa campagna d’infezione o bloccare il sito da cui viene scaricato il payload, forniamo alcuni link:

DROPPER: invoice_DjzkX0.js

https://www.virustotal.com/en/file/ea83f58ba3184f42673bfdff2518520b9691d7cb10451914edaef5e51abc6d50/analysis/1454144003
https://malwr.com/analysis/ZGM4YWYyODgwMDYyNGU4NThhMGU3YmYyMTYwNGYwZTg
https://www.hybrid-analysis.com/sample/ea83f58ba3184f42673bfdff2518520b9691d7cb10451914edaef5e51abc6d50?environmentId=4

PAYLOAD: 93.zip

Viene scaricato dal dropper dai domini skuawill.com e skuawillbil.com, registrati tramite Key-Systems GmbH e WebNic, con record DNS A verso gli IP 191.101.251.155, 162.221.176.52, 173.82.74.197 e 37.123.101.74
https://www.virustotal.com/en/file/0d036a5f5d6b64b64ddee327c8a5c02ce5a8a9ebef46419a65e58884e093aea3/analysis/
https://malwr.com/analysis/MGI5ZWJiY2YwZDY2NDY5OWJkYzZmNWE5ZTU4MTM2YjM/
https://www.hybrid-analysis.com/sample/0d036a5f5d6b64b64ddee327c8a5c02ce5a8a9ebef46419a65e58884e093aea3?environmentId=1

Elenco degli argomenti

Update (7 febbraio 2016)

E’ stata segnalata una ondata precedente, lanciata il 22 gennaio (esempio di subject della contenente il dropper “1_22_2016 6_20_53 PM”) che scarica i payload dai seguenti domini:

piglyeleutqq.com
skuawillbeh.com

Update (9 febbraio 2016)

Sembra che alcuni utenti senza privilegi amministrativi siano riusciti ad evitare che il trojan cancellasse le shadow copy non confermando la richiesta di eliminazione delle copie shadow del volume Microsoft. TeslaCrypt tenta infatti di lanciare, con privilegi amministrativi, il tool “c:\Windows\System32\vssadmin.exe delete shadows /all /Quiet” chiedendo all’utente di eseguire il comando come amministratore con la domanda “Consentire al programma seguente di apportare modifiche al computer?“.

Non consentendo la cancellazione delle shadow copies, si permette il recupero (quando queste sono presenti e per le cartelle per le quali sono attive) anche dopo la cifratura dei file.

Update (11 febbraio 2016)

Diversi utenti segnalano – probabilmente per aver interrotto la fase di encryption del ransomware staccando i cavi di rete e la connettività Internet – di non riuscire ad accedere alla pagina Onion segnalata nel file help_recover_instructions.TXT. Tale pagina serve per pagare il riscatto – cosa che ovviamente sconsigliamo – e per decriptare un file come prova del possesso della chiave da parte del sistema. Diversi utenti ottengono infatti il messaggio: “If login was unsuccessful few times in a row, please upload “recover_file_xxxxx.txt” file located in “My Documents” folder. If something is going wrong – please visit this site later, in 10-12 hours“.

Alcuni utenti sono riusciti a trovare il file recover_file.txt e caricarlo in upload sul server, altri non sono riusciti a verificare dove si trova il file recover_file.txt. Il file “recover_file.txt” nella versione TeslaCrypt 3.0 sembra contenere i seguenti parametri:

1 linea: Indirizzo Bitcoin su cui viene richiesto di pagare il riscatto (Bitcoin Address)
2 linea: Chiave pubblica (PublicKey)
3 linea: Identificativo della vittima del ransomware (IDhex)
4 linea: Identificativo ID del payload utilizzato (kryptik/injector)

Termini di ricerca frequenti

Teslacrypt 3
Teslacrypt
Ransomware
Decriptare File
Come Decriptare File Micro
Come Decriptare File
Decriptare File Micro
Virus Teslacrypt
Ransomware Teslacrypt
Decriptare File Encrypted
File Crypt
File Micro
Tesla Virus
Decriptare File Virus
Rsa 4096 Recuperare File
Cryptolocker Recupero File
Rsa 4096 Decrypt
Virus Crypt
Teslacrypt Micro
Rimuovere Cryptolocker 2016
Decriptare Teslacrypt 3
Rimuovere Teslacrypt 3
Virus Cripta Files
Ransomware Teslacrypt 3
Recupero File Criptati Cryptosystem
Rsa 4096
Virus Decrypt 2016
File Sono Stati Criptati
Skuawill
Decriptare Tor Browser
Virus Pc File Criptati
Virus Cripta File
Virus Che Cripta Documenti
File Criptati Rsa 4096
Ransom Virus
Ransomware Tesla
Virus File Criptati
Decriptare Cryptolocker
Virus Tesla 3
Virus File Encrypted Quale
File Criptati Micro
Ransomware Micro
Wbozgklno6X2Vfrk Onion
Micro
Teslacrypt Java Script
Ransomware Italia
Help Recover Instructions Lan
Virus Email Zip
Come Decriptare Ransomware Micro
Rimuovere Cryptolocker Estensione Micro
Virus Micro Decriptare
Tesla Cripta 4
File Pc Criptati
Recover Virus Come Recuperare Files
Ransomware 3
Teslacrypt 3 Key
Ho Aperto Una Mail Ora Su Alcuni File Cambiata Estensione
Bloccare Ransomware
Tesla Cryptolocker 4
Problema Pc Not Your Language
Recover Doc Virus
Decriptare File Teslacrypt
Cryptolocker Tesla Cc
Recuperare File Rsa Cryptosystem
Teslacrypt Micro Decrypt
Teslacrypt 3 Decrypt
Recupero Files Crypt 4096
Recover File Teslacrypt
500 Dollari Virus Bitcoin
Rimuovere Estensione Micro
Cryptolocker 3 Tesla
Ransomware Cryptolocker 2016
Virus Computer Gennaio 2016
Tesla 3 Cryptowall
Come Rimuovere Cryptolocker Tesla
Decriptare File Micro 2016
Skuawill 4096
Recuperare File Crypt Micr
Decriptare Files Micro
Virus Not Your Language
Decrypt Teslacrypt 3
Email Con Virus Zip Micro
Cryptolocker Micro
Teslacrypt 3 Private Key
Problema Pc Virus Gennaio 2016
Ondata Di Ransomware
Tesla Crypto
Recover Instructions
Virus Mail Gennaio 2016
Decriptare Rsa 4096
Cryptolocker Ransomware Micro
Tesla Crypt 3
Ransomware It Teslacrypt 3
Teslacrypt 3 Ransomware
Cryptolocker 3 Tesla Micro
Skuawill Com
Teslacrypt Come Recuperare File
Estensione Micro
Virus Tesla
Ransomware Antivirus Programma
Se Ho Aperto Un Allegato Zip
Nuova Ondata Di Ransomware 30 Gennaio
Micro Decriptare
Cryptosystem Rimuovere
Estensione Micro Virus
Virus Computer Riscatto Micro
Come Recuperare File Infettati Micro
Decriptare Files
Decriptare File Teslacrypt 3
Decriptare File Estensione Micro
Recuperare File Micro
Tesla Crypt Italia
Come Decriptare Il Virus Micro
Ransomware It
Recuperare File Virus Micro
Teslacrypt Ransomware Rimuovere
Virus Via Email 2016
Rimuovere Trojan Teslacrypt 3
Virus Doc Micro
Teslacrypt Allegato
Tesla Cryptolocker
Micro Decrypt
File Zip Contengono Virus
Jpg Micro
Bitcoin Decriptare
Cryptolocker Nuova Versione
Virus Crypt File
Tesla 3 Virus
Virus Aggiunge Estensione
Virus Sul Pc Che Cripta
Cryptolocker 3 Decrypt
Virus 4096
Recupero File
Allegati Mail Delete
Programma Per Decriptare File
Virus Crypto
Rsa 4096 Problema
Virus Che Cripta File
Cryptolocker Recupero File 2016
Virus Ransomware 3
Not Your Language Rimuovere Virus
Tim Mail Virus Decrypt
Come Decriptare File Con Estensione Micro
Decriptare 4096
Come Recuperare File Criptati Micro
Virus Che Cripta Il Linguaggio Del Pc
Cryptosystem Recuperare File
Cryptowall 3 Rimuovere
Cryptosystem Virus
Tool Per Crypto Virus
Ransom Con Estensione Exe
Cript Log
Decriptare Mb Cript 7 Senza Key
Pulire File Cryptolocker
Cryptolocker Mail
Virus Cambia Estensione Exe
Email Cryptolocker
Tesla De Locker
Tesla Locker
Recuperare File Criptati 2016 Onion
Decriptare File Cryptolocker 2016
Decriptare File Di Cryptowall
Cript 3
Cryptolocker Estensione File
File Criptati Da Ransom Crypt
Ransomware Cryptolocker
Java Script Email Con File Allegato
Recuperare File Rsa 4096
Dropper Criptati
File Virus Zi Co
Windows Il Virus Mi Ha Cambiato Le Estensioni Dei File
File Estensione Xx Virus
File Jpg Criptati Rsa
Tor Project Crypt
Antivirus Per Rsa 4096
Virus Cripta File Riscatto
File Micro Come Si Apre
Rimuovere Ransomware Con Estensione Crypt
File Crypto
Cryptolocker Chiave
Not Your Language Use Https Translate Google Com
Www Ransomware It
Crypt File Virus
Javascript Cryptolocker
File Criptati Virus
File Con Estensione Info
File Cryptolocker
Virus Cript
Ransom Micro Rimuovere
Rsa 4096 Key
Allegato Js
Rsa 4096 Come Decriptare Files
Rimuovere Virus Decrypt My File
Ransomware Tesla 4096
Come Recuperare File Criptati Da Cryptolocker
Decripta Micro Tesla
Decriptare Crypt Tesla
Recuperare File Micro Virus 3
File Criptati Jpg Id
Virus File Criptati Riscatto 2016
Virus Ransom
Estensione Crypt
File Estensione Crypt Virus
Virus Crypt Computer
Virus Encrypted Files Bitcoin
Ogni File Ora È Crypt
File Encrypted Virus Rsa 4096
Crypt Virus 2016
Decriptare Virus Onion 2016
Crypt Project
Recupero File Virus Crypt
Ransomware Micro Decrypt
Decrypt Micro
Ransomware Crypt Wikipedia
Not Your Language Virus
Recuperare File Cryp
Files Criptati Con Estensione Crypt
Crypt Virus
Recuperare File Criptati Ransomware
Estensioni Cryptolocker
File Cript Da Mail
Come Elimi Il Virus Cripta Dal Computer
Cryptolocker Crypt 4096
Ransomware Copie Shadow

208 Responses to "Nuova ondata di ransomware Teslacrypt 3.0"

ANGELO ha detto:

19 Ottobre 2016 alle 1:26

ho contratto il virus cryptosystem rsa e i file hanno un estensione del tipo FILE E2295… COME POSSO RISOLVERE?

Rispondi
Francesca raffa ha detto:

10 Giugno 2016 alle 9:55

Buongiorno , anch’io infettata da . Criptz. Che versione è del virus? Esiste già un tool per ripristino ? Grazie

Rispondi
1. Paolo Dal Checco ha detto:
  
  16 Giugno 2016 alle 23:08
  
  Il trojan che cifra i file e aggiunge l’estensione .CRYPTZ è una mutazione del cryptovirus CryptXXX, che sembra abbia anche funzioni di spy software che spia le password e le manda al server di controllo. Per questo motivo è consigliabile, se infettati, cambiare le proprie password da un altro PC, in modo che se qualcuno le ha rubate non possa utilizzarle. Al momento nessuno ha scoperto come decifrare i file cryptati dal ransomware Cryptz, speriamo che presto si arrivi a una soluzione per recuperare i documenti.
  
  Rispondi
Giovanna ha detto:

7 Giugno 2016 alle 9:32

Ciao! Ho bisogno di aiuto urgente…. il mio PC è stato infettato da un virus esattamente identico a questo che descrivete solo che le estensioni dei file criptati sono .crypz potete aiutarmi???? c’è tutto il mio lavoro dentro… ha infettato anche l’hard disk in cui faccio il backup dei dati che era inserito nel momento dell’attacco…

Rispondi
1. Davide ha detto:
  
  8 Giugno 2016 alle 0:23
  
  ciao, stessa cosa a me ieri pomeriggio, nessuna mail aperta pc acceso, esco tre ore, al ritorno trovo la schermata del virus in qui di chiede il riscatto, tutti i file criptati con estensione .crypz.
  Cercando in rete non trovo soluzioni !
  
  Rispondi
  1. Simone ha detto:
    
    9 Giugno 2016 alle 23:35
    
    io pure ! tutti files .crypz
    Non so che fare….
    qualcuno può aiutarmi ?
    
    Rispondi
    1. Antonio (Platania - Cz) ha detto:
      
      16 Giugno 2016 alle 15:52
      
      stessa cosa mi è successa a me ieri sera, pc lasciato acceso, nessuna mail aperta, schermata di messaggio su sfondo nero e collegamento html, e file infettati con estensione crypz – ho provato tutto cio’ che ho trovato in rete, ma uno sviluppatore di tool mi ha detto che x questo ancora non c’è niente, bisogna aspettare. Mi spiace che mi ha infettato anke l’hard disk di backup che al momento era acceso ed attaccato all’usb……se avete qualche novità, diffondete, così faro’ io…………….maledetti!!!!
      
      Rispondi
mario ha detto:

25 Maggio 2016 alle 9:36

Salve. Sapete dirmi di quale “famiglia” ransomware fanno parte i file criptati .encrypted?

Rispondi
Mario ha detto:

24 Maggio 2016 alle 19:56

Io Purtroppo ho beccato un ransomware che fa parte della famiglia “CRYPTOXXX” ma nella variante “CHIMERA”, e le indicazioni che mi hanno dato non mi consetnono di collegamrmi a niente.
Qualcuno ha qualche indicazione che mi possa aiutare

Rispondi
Davide ha detto:

21 Maggio 2016 alle 10:55

finalmente è uscita una soluzione!!!!
leggete qui:

http://www.tomshw.it/news/fine-di-teslacrypt-autori-si-ritirano-e-consegnano-chiavi-77121

ho provato il decrypter con dei file criptati con estensione .micro e funziona benissimo.

Rispondi
1. Paolo Dal Checco ha detto:
  
  21 Maggio 2016 alle 12:10
  
  Confermiamo che stanno uscendo diversi software gratuiti per decifrare i file criptati con qualunque versione di TeslaCrypt: abbiamo pubblicato un post che parla proprio della novità della “chiusura” dei siti TeslaCrypt, della pubblicazione della chiave primaria che permette di “sbloccare” qualunque file e delle soluzioni diffuse gratuitamente per recuperare i file cifrati da TeslaCrypt.
  
  Rispondi
vez ha detto:

19 Maggio 2016 alle 14:54

TeslaCrypt, arriva la chiave di sblocco universale
http://www.zeusnews.it/n.php?c=24231

Qualcuno ha maggiori info?

Rispondi
1. Melwin ha detto:
  
  3 Luglio 2016 alle 14:26
  
  Davvero una buona notizia!
  
  Rispondi

Lascia un commento Annulla risposta

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.