TeslaCrypt 4.0 non cambia l’estensione dei file criptati

In questi giorni si sta diffondendo una nuova versione di TeslaCrypt, identificata come “TeslaCrypt 4.0”, che non cambia le estensioni né i nomi dei file criptati, lasciando quindi nome file ed estensione originale. Mentre le versioni precedenti aggiungevano “.micro”, “.mp3”, “.ecc, “.ezz”, “.exx”, “.xyz”, “.zzz”, “.aaa”, “.abc”, “.ccc” o “vvv” al nome del file, questa versione del ransomware TeslaCrypt non permette di capire quali file sono stati criptati, se non analizzandone il contenuto o provando ad aprirli.

Sembra che in questa nuova versione del trojan TeslaCrypt gli autori abbiano corretto alcuni bachi delle precedenti versioni. Come descritto nel blog BleepingComputer, per distinguere un file criptato da uno non criptato non è più possibile utilizzare l’estensione (es. cercare tutti i “.micro”) quindi è necessario basarsi sugli header aggiunti al file dal criptovirus. L’header del file, cioè l’intestazione che contiene le informazioni circa la sua cifratura da parte del ransomware, è il seguente ed è essenziale perché i file criptati hanno la stessa estensione di quelli in chiaro:

offset size Description
————————————–
0x000 8 0x0000000000000000
0x008 8 %IDHEX%
0x010 8 0x0000000000000000
0x018 65 PublicKeyRandom1_octet
0x059 32 AES_PrivateKeyMaster
0x079 31 Padding 0
0x098 65 PublicKeySHA256Master_octet
0x0D9 3 0x000000
0x0DC 65 PublicKeyRandom2_octet
0x11D 32 AES_PrivateKeyFile
0x13D 31 Padding 0
0x15C 16 Initialization vector for AES
0x16C 4 Size of original file
AES 256 CBC

Il tecnico BloodDolly ha aggiornato il suo decryptor TeslaDecoder alla versione 0.0.085 in modo da decifrare i file criptati da questa versione del criptovirus TeslaCrypt 4.0, a patto ovviamente ch sia stata reperita in qualche modo la chiave di cifratura. Dal changelog.txt del decryptor TeslaDecoder leggiamo infatti che “Added support for TeslaCrypt 4.0 with the same extension as the original file“.

Le cartelle dove il trojan ha criptato dei documenti contengono il messaggio con la richiesta di riscatto in bitcoine un file contenente un recover file:

• RECOVERrrxec.txt
• RECOVERrrxec.png
• RECOVERrrxec.html
• recover_file.txt

I messaggi html, png e txt contengono la richiesta di riscatto in bitcoin lasciata dal cryptovirus e alcune informazioni circa il tipo di cifratura applicata dal ransomware:

NOT YOUR LANGUAGE? USE https://translate.google.com
What’s the matter with your files?
Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA4096:https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What exactly that means?
It means that on a structural level your files have been transformed. You won’t be able to use, read, see or work with them anymore.
In other words they are useless, however, there is a possibility to restore them with our help.
What exactly happened to your files?
*** Two personal RSA4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key, which you received over the web.
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.
What should you do next?
There are several options for you to consider:
1. You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
2. You can start getting BitCoins right now and get access to your data quite fast.
In case you have valuable files, we advise you to act fast as there is no other option rather than paying in order to get back your data.
In order to obtain specific instructions, please access your personal homepage by choosing one of the few addresses down below:
http://h5nuwefkuh134ljngkasdbasfg.corolbugan.com/1EBDCAC12456D1B
http://p54dhkus4tlkfashdb6vjetgsdfg.greetingshere.at/1EBDCAC12456D1B
http://f4dsbjhb45wfiuqeib4fkqeg.meccaledgy.at/1EBDCAC12456D1B
If you can’t access your personal homepage or the addresses are not working, complete the following steps:
1 Download TOR Browser – http://www.torproject.org/projects/torbrowser.html.en
2 Install TOR Browser
3 Open TOR Browser
4 Insert the following link in the address bar: k7tlx3ghr3m4n2tu.onion/1EBDCAC12456D1B
5 Follow the steps on your screen
IMPORTANT INFORMATION
Your personal homepages:
http://h5nuwefkuh134ljngkasdbasfg.corolbugan.com/1EBDCAC12456D1B
http://p54dhkus4tlkfashdb6vjetgsdfg.greetingshere.at/1EBDCAC12456D1B
http://f4dsbjhb45wfiuqeib4fkqeg.meccaledgy.at/1EBDCAC12456D1B
Your personal page Tor-Browser k7tlx3ghr3m4n2tu.onion/1EBDCAC12456D1B
Your personal identification ID: 1EBDCAC12456D1B

La pagina detta “personal page” dove la vittima può pagare il riscatto richiesto dal crypto virus è contenuta su sito ONION della rete Tor, che non necessariamente è il Command and Control server ,accedibile tramite Tor Browser.

Il testo contenuto nella richiesta di riscatto del virus TeslaCrypt 4.0 è identico agli altri TeslaCrypt, la cifra da pagare per decifrare i file è 1.3 bitcoin con 7 giorni di tempo per pagare prima che il riscatto raddoppi.

Your files are encrypted.
To get the key to decrypt files you have to pay 500 USD. If payment is not made ​​before 22/03/16 the cost of decrypting files will increase 2 times and will be 1000 USD
Prior to increasing the amount left:
First connect IP: 84.114.230.8
We present a special software – Decrypter – which allows to decrypt and return control to all your encrypted files.
How to buy decrypter?
1. You can make a payment with BitCoins, there are many methods to get them.

2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet)

3. Purchasing Bitcoins – Although it`s not yet easy to buy bitcoins, it`s getting simpler every day.

Here are our recommendations:

btcdirect.eu – Good service for Europe.
bittylicious.com – Get BTC with Visa/MC or SEPA(EU) Bank transfer.
localbitcoins.com – Service allows you to search for people in your community willing to sell bitcoins to you directly(WU, Cash, SEPA, Paypal and many others).
cex.io – Buy Bitcoins with Visa/Mastercard or Wire Transfer.
coincafe.com – Recommended for fast, simple service. Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order.
bitstamp.net – Old and trusted Bitcoin dealer.
btc-e.com – BTC dealer, Visa/Mastercard and etc.
Couldn’t find BTC in your location? Try searching these directories:
buybitcoinworldwide.com – An international directory of bitcoin exchanges.
bitcoin-net.com – One more BTC dealer directory.
howtobuybitcoins.info – An international directory of bitcoin exchanges.
bittybot.co/eu/ – EU countries directory.

4. Send BTC to Bitcoin address:

5. Enter the Transaction ID and chose payment option:

Note: Transaction ID – you can find in detailed info about transaction you made.
(example 44214efca56ef039386ddb929c40bf34f19a27c42f07f5cf3e2aa08114c4d1f2)

6. Please check the payment information and click “PAY”.

Your sent drafts
Num Draft type Draft number or transaction ID Amount Status

0 valid drafts are put, the total amount of 0 USD.

Come per tutte le ultime versioni di TeslaCrypt, il decryptor è liberamente scaricabile dal sito dell’organizzazione criminale a patto che si conosca il link, che è il seguente: “http://k7tlx3ghr3m4n2tu.onion/decrypt.zip”. Per ottenere il link di download del tool per decifrare i file criptati dal ransomware è sufficiente aggiungere “/decrypt.zip” alla URL onion indicata nel messaggio lasciato sul PC dal criptovirus). Notare che non è sufficiente possedere il decryptor per recuperare i file resi illeggibili dal virus, serve anche la chiave che al momento non è possibile ricavare, recuperare o generare in alcun modo quindi l’algorimo rimane “sterile”.

L’archivio zip contiene il file “decrypt.exe” avente MD5 ca4ae810b3694b95064e974ff2173cf4 e SHA256 dbad97db5c8eb038c90bb23b102f774881b19ee71d2cd0224a03d547317cd0aa. Chi volesse scaricare il software per decriptare i file cancellati (ricordiamo che manca la chiave di cifratura quindi il software con il suo algoritmo di decifratura da solo è inutile) può farlo al link sopra oppure dal sito Malwr, dove è presente anche una analisi statica e dinamica del decryptor per TeslaCrypt 4.0. In alternativa, grazie al proxy “onion.to” e al “Web Archive / WayBack Machine” è stata salvata una copia del decryptor a questo link nel clearweb.

Se state chiedendovi come decriptare i file criptati da TeslaCrypt 4.0, al momento non esiste una soluzione certa e soprattutto gratuita. Il tool di BloodDolly – utente del forum BleepingComputer – funziona a patto che si riesca a ottenere la chiave di cifratura, cosa che alcuni ottengono pagando il riscatto in bitcoin, cosa che sconsigliamo vivamente non tanto per l’incertezza di ottenere il decryptor quanto perché non si dovrebbe scendere a compromessi con i delinquenti.