titulo

titulo

Os autores do ransomware TeslaCrypt o melhoraram ao implementar novas técnicas de evasão sofisticadas e mirando novos tipos de arquivo.

Os autores do TeslaCrypt introduziram significantes melhorias, a nova variante Versão 4.1, está em circulação a cerca de uma semana. De acordo com especialistas da Endgame Inc., VXers investiram muito em ofuscação e técnicas de evasão, e o código malicioso pode também criptografar novas extensões de arquivo:  (.7z; .apk; .asset; .avi; .bak; .bik; .bsa; .csv; .d3dbsp; .das; .forge; .iwi; .lbf; .litemod; .litesql; .ltx; .m4a; .mp4; .rar; .re4; .sav; .slm; .sql; .tiff; .upk; .wma; .wmv; and .wallet).

“A nossa última pesquisa no TeslaCrypt demonstrou, não apenas que o ransomware está se espalhando, mas ele também está se tornando mais sofisticado e adaptável. TeslaCrypt 4.1 está apenas com uma semana e contêm uma variedade ainda maior de técnicas de ocultamento e ofuscação, do que as variantes anteriores, das quais, a mais recente tem apenas 1 ano”, diz o pesquisador.

O ransomware também tem como alvo os arquivos de backup, ao deletar o Volume Shadow Copy, o novo ransomware usa o AES 256 para criptografia de arquivo. Como seus predecessores, essa nova variante do TeslaCrypt se espalha por anexos de campanhas de spam, se fazendo passar por notificação de entrega. Quando a vítima abre o arquivo .zip malicioso enviado como anexo, um downloaderr JavaScript usando Wscript é executado de forma a baixar o ransomware TeslaCrypt do endereço greetingsyoungqq[.]com/80.exe. O TeslaCrypt 4.1A também usa os objetos COM e deleta os identificadores de zona para evadir-se da detecção.

Ainda segundo o site securityaffairs.co, o ransomware também implementa recursos contra o monitoramento, que fecha diversos processos do Windows, incluindo o Gerenciador de Tarefas, Editor de Registro, Shells de Comando, Explorador de Processos SysInternals e Configurações do sistema. Essa variação do TeslaCrypt mantêm-se persistente ao fazer uma cópia de si mesmo no disco e criando uma entrada de registro que aponta para a cópia.

 

fonte:

http://securityaffairs.co/wordpress/46523/malware/teslacrypt-4-1-a.html
http://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/04/Teslacrypt-ransomware-4-1-A.png?resize=768%2C545
http://www.infosecurity-magazine.com/news/new-teslacrypt-variant-delivery/
https://www.endgame.com/blog/your-package-has-been-successfully-encrypted-teslacrypt-41a-and-malware-attack-chain