Un investigador de seguridad llamado BloodDolly ha descubierto una nueva versión de TeslaCrypt, concretamente la 4.2, del que es considerado el ransomware más peligroso, extendido y veterano, que busca, principalmente, solucionar varias de las debilidades de la versión actual para poder continuar así con sus ataques.

Los ficheros que forman parte de este nuevo TeslaCrypt 4.2 son:

  • !RecoveR!-[5_characters]++.HTML -> Nota de rescate en formato de página web.
  • !RecoveR!-[5_characters]++.PNG -> Nota de rescate en formato de imagen.
  • !RecoveR!-[5_characters]++.TXT -> Nota de rescate en formato de texto.
  • -!recover!-!file!-.txt -> El fichero de recuperación (cifrado)
  • [random].exe -> El binario del ransomware.

Por motivos obvios, no podemos conocer una lista de cambios oficial sobre esta nueva versión, sin embargo, el investigador de seguridad responsable del estudio de esta variante confirma, en un primer estudio, las siguientes modificaciones

Principales cambios de TeslaCrypt 4.2

  • Lo primero que se puede ver a simple vista es un cambio en la nota de rescate. Ahora, en vez de dar información sobre el secuestro de datos y explanarse en el proceso de recuperación de los mismos, la nota se centra en cómo realizar el pago para poder descifrar los datos.
  • Esta nueva versión también utiliza un nuevo compilador con una serie de optimizaciones de manera que su funcionamiento sea más estable y difícil de detectar a nivel de carga del sistema. También, se han encontrado varias funciones que hacen que el ransomware se inyecte en el proceso svchost.exe de manera que se eliminen las shadow copies, tanto antes del cifrado como después del mismo, impidiendo que los datos se puedan recuperar de esta manera.
  • Otro cambio relevante en esta nueva versión es que ahora el fichero de recuperación es el mismo que el fichero del programa, por lo que si se elimina este es posible que peligre el descifrado de los datos. Además, este fichero de recuperación está cifrado para evitar que se puedan conocer las configuraciones del mismo.
  • También se ha cambiado la entrada del registro de Windows donde se almacena este malware, apuntando directamente a la ruta donde se almacena.
  • Por último, la conexión con el servidor de control solo se establece si se detecta conectividad, de lo contrario, no.
  • Aunque no se ha confirmado, es muy probable que se haya cambiado el algoritmo de cifrado, por lo que, de momento, la recuperación de los datos cifrados por esta nueva versión no es posible sin pagar, y es muy peligroso hacerlo pagando ya que, como siempre indicamos, cabe la posibilidad de que no lleguemos a recibir la correspondiente clave. Sin duda, una peligrosa y preocupante actualización por la que debemos extremar las precauciones.

Fuente: Bleeping Computer

Anuncios