Usuarios de España, Alemania y EE.UU atacados por TeslaCrypt 2.0

Las primeras muestras de TeslaCrypt se detectaron en febrero de 2015 y se ha ido extendiendo desde entonces como una amenaza dirigida a los ordenadores de los jugadores. El troyano intenta infectar archivos típicos de juego (perfiles de usuario, repeticiones recodificados, etc). TeslaCrypt no cifra los archivos que superen los 268 MB y la mayoría de las afectados están en EE.UU, Alemania y España, seguido de Italia, Francia y Reino Unido.

Al infectar a una nueva víctima, TeslaCrypt genera una dirección Bitcoin única para recibir el pago del rescate de la víctima y una clave secreta para retirarlo. Los servidores C&C del troyano se encuentran en la red Tor. La versión del troyano 2.0 utiliza dos llaves: una es única dentro de un sistema infectado, la otra se genera repetidamente cada vez que el programa malicioso se relanza en el sistema. Por otra parte, la clave secreta con la que los archivos de usuario quedan cifrados no se guarda en el disco duro, lo que hace que el proceso de descifrado de los archivos de usuario sea mucho más complicado.

Los programas de TeslaCrypt se propagan a través de exploit kits Angler, Sweet Orange y Nuclear. Este mecanismo de propagación de malware hace que la víctima visite un sitio web infectado y el exploit de código malicioso utiliza vulnerabilidades del navegador, más típicamente en plugins, para instalar el malware en el equipo.

"Está diseñado para engañar e intimidar a los usuarios. Por ejemplo, su versión anterior mostraba un mensaje a la víctima diciendo que sus archivos se cifran con el famoso algoritmo de cifrado RSA-2048 y así demostró que no había opción de pagar el rescate. En realidad, los ciberdelincuentes no utilizaron este algoritmo. En su última modificación, TeslaCrypt convencía a las víctimas que están tratando con CryptoWall, una vez que cifra los archivos de usuario, no hay manera de descifrarlo", ha comentado Fedor Sinitsyn, analista senior de malware de Kaspersky Lab.