Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Nueva variante de TeslaCrypt permite chatear con los secuestradores de los ficheros




Una nueva variante del ransomware TeslaCrypt cifra ahora los archivos con extensión .EXX, la variante se basa en Alpha Crypt y además incluye opciones de chat, puedes conversar on-line con los secuestradores de tus ficheros. La otra importante novedad es que esta nueva versión de momento no se puede descifrar, todo lo contrario que con las primeras versiones de TeslaCrypt que si se podían recuperar la totalidad de los archivos cifrados.






Una nueva variante del ransomware TeslaCrypt ha sido puesto en libertad la semana pasada y tiene algunos cambios menores, pero en su mayor parte es el mismo que Alpha Crypt. Las principales diferencias son que esta nueva versión cuenta con una interfaz gráfica de usuario diferente, que se muestra a continuación, y algunos cambios en nombres de archivo y ubicación, además de utilizar la extensión .EXX al cifrar sus archivos.




Nueva GUI



Las siguientes extensiones de ficheros son cifradas en esta nueva versión:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Una vez cifrados todos los archivos cambia el fondo de pantalla del Escritorio por:

Desktop%\HELP_RESTORE_FILES.bmp 

 y también mostrar una nota de texto encontrado aquí:

%Desktop%\HELP_RESTORE_FILES.txt

La información de cifrado pasado estaba almacenado en el% \ key.dat archivo% AppData. En esta versión la información se almacena en% LocalAppData% \ storage.bin.

En este momento no hay ninguna manera de descifrar los archivos y TeslaDecrypt no funcionará con esta nueva variante.

Nuevos lugares de los ficheros de TeslaCrypt:

%LocalAppData%\.exe
%LocalAppData%\log.html
%LocalAppData%\storage.bin
%Desktop%\Save_Files.lnk
%Desktop%\HELP_RESTORE_FILES.bmp
%Desktop%\HELP_RESTORE_FILES.txt
%Documents%\RECOVERY_FILE.TXT 

Claves de registro nuevas:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVrSvc %LocalAppData%\.exe
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_RESTORE_FILES.bmp"  

Chatea on-line con los extorsionadores

Las víctimas están esparcidas por todo el mundo, desde estudiantes en Irán y España a personas de los Estados Unidos, Alemania, Argentina, Croacia y Mongolia. Algunos temían que iban a ser expulsados de la escuela o el despido de su trabajo si los archivos no eran devueltos. Padres y madres fueron destrozados por la pérdida de sus fotos de familia.

El chat se llama "Support" Soporte con su "Centro de Mensajes", Message Center".

Se estima que de unas 1.231 víctimas del TeslaCrypt, unas 263 han interactuado con los cibercriminales. Los mensajes proveen un punto de vista interno de las reacciones, sentimientos y emociones de las víctimas que expresan de distinta manera su rabia, indignación o desesperación.

Los comentarios en rojo son de los criminales y los de azul los de las víctimas del ransomware.

Algunos recurren a los insultos:


Otros alertan que no van a pagar dado que tienen copias de seguridad:


Hasta se pueden obtener suculentas rebajas si el secuestrador está de buen humor:


También se puede dar el caso que después de pagar el rescate no se puedan descifrar los ficheros ya que puede ser una variante del virus que no sea escrita por al persona con la que hablamos. Es el problema de las múltiples variantes:



Fuentes:
https://www.fireeye.com/blog/threat-research/2015/05/teslacrypt_followin.html
http://www.bleepingcomputer.com/forums/t/575875/new-teslacrypt-version-released-that-uses-the-exx-extension/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.