Un investigador de seguridad llamado BloodDolly ha descubierto una nueva versión de TeslaCrypt, concretamente la 4.2, del que es considerado el ransomware más peligroso, extendido y veterano, que busca, principalmente, solucionar varias de las debilidades de la versión actual para poder continuar así con sus ataques.
Los ficheros que
forman parte de este nuevo TeslaCrypt 4.2 son:
- !RecoveR!-[5_characters]++.HTML
-> Nota de rescate en formato de página web.
- !RecoveR!-[5_characters]++.PNG
-> Nota de rescate en formato de imagen.
- !RecoveR!-[5_characters]++.TXT
-> Nota de rescate en formato de texto.
- -!recover!-!file!-.txt
-> El fichero de recuperación (cifrado)
- [random].exe
-> El binario del ransomware.
Principales cambios
de TeslaCrypt 4.2
- Lo primero que
se puede ver a simple vista es un cambio en la nota de rescate. Ahora, en
vez de dar información sobre el secuestro de datos y explanarse en el
proceso de recuperación de los mismos, la nota se centra en cómo realizar
el pago para poder descifrar los datos.
- Esta nueva
versión también utiliza un nuevo compilador con una serie de
optimizaciones de manera que su funcionamiento sea más estable y difícil
de detectar a nivel de carga del sistema. También, se han encontrado
varias funciones que hacen que el ransomware se inyecte en el proceso
svchost.exe de manera que se eliminen las shadow copies, tanto antes del
cifrado como después del mismo, impidiendo que los datos se puedan
recuperar de esta manera.
- Otro cambio
relevante en esta nueva versión es que ahora el fichero de recuperación es
el mismo que el fichero del programa, por lo que si se elimina este es
posible que peligre el descifrado de los datos. Además, este fichero de
recuperación está cifrado para evitar que se puedan conocer las
configuraciones del mismo.
- También se ha
cambiado la entrada del registro de Windows donde se almacena este
malware, apuntando directamente a la ruta donde se almacena.
- Por último, la
conexión con el servidor de control solo se establece si se detecta
conectividad, de lo contrario, no.
- Aunque no se ha
confirmado, es muy probable que se haya cambiado el algoritmo de cifrado,
por lo que, de momento, la recuperación de los datos cifrados por esta
nueva versión no es posible sin pagar, y es muy peligroso hacerlo pagando
ya que, como siempre indicamos, cabe la posibilidad de que no lleguemos a
recibir la correspondiente clave. Sin duda, una peligrosa y preocupante
actualización por la que debemos extremar las precauciones.