Una nueva variante del ransomware TeslaCrypt cifra ahora los archivos con extensión .EXX, la variante se basa en Alpha Crypt y además incluye opciones de chat, puedes conversar on-line con los secuestradores de tus ficheros. La otra importante novedad es que esta nueva versión de momento no se puede descifrar, todo lo contrario que con las primeras versiones de TeslaCrypt que si se podían recuperar la totalidad de los archivos cifrados.






Una nueva variante del ransomware TeslaCrypt ha sido puesto en libertad la semana pasada y tiene algunos cambios menores, pero en su mayor parte es el mismo que Alpha Crypt. Las principales diferencias son que esta nueva versión cuenta con una interfaz gráfica de usuario diferente, que se muestra a continuación, y algunos cambios en nombres de archivo y ubicación, además de utilizar la extensión .EXX al cifrar sus archivos.




Nueva GUI



Las siguientes extensiones de ficheros son cifradas en esta nueva versión:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Una vez cifrados todos los archivos cambia el fondo de pantalla del Escritorio por:

Desktop%\HELP_RESTORE_FILES.bmp 

 y también mostrar una nota de texto encontrado aquí:

%Desktop%\HELP_RESTORE_FILES.txt

La información de cifrado pasado estaba almacenado en el% \ key.dat archivo% AppData. En esta versión la información se almacena en% LocalAppData% \ storage.bin.

En este momento no hay ninguna manera de descifrar los archivos y TeslaDecrypt no funcionará con esta nueva variante.

Nuevos lugares de los ficheros de TeslaCrypt:

%LocalAppData%\.exe
%LocalAppData%\log.html
%LocalAppData%\storage.bin
%Desktop%\Save_Files.lnk
%Desktop%\HELP_RESTORE_FILES.bmp
%Desktop%\HELP_RESTORE_FILES.txt
%Documents%\RECOVERY_FILE.TXT 

Claves de registro nuevas:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVrSvc %LocalAppData%\.exe
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_RESTORE_FILES.bmp"  

Chatea on-line con los extorsionadores

Las víctimas están esparcidas por todo el mundo, desde estudiantes en Irán y España a personas de los Estados Unidos, Alemania, Argentina, Croacia y Mongolia. Algunos temían que iban a ser expulsados de la escuela o el despido de su trabajo si los archivos no eran devueltos. Padres y madres fueron destrozados por la pérdida de sus fotos de familia.

El chat se llama "Support" Soporte con su "Centro de Mensajes", Message Center".

Se estima que de unas 1.231 víctimas del TeslaCrypt, unas 263 han interactuado con los cibercriminales. Los mensajes proveen un punto de vista interno de las reacciones, sentimientos y emociones de las víctimas que expresan de distinta manera su rabia, indignación o desesperación.

Los comentarios en rojo son de los criminales y los de azul los de las víctimas del ransomware.

Algunos recurren a los insultos:


Otros alertan que no van a pagar dado que tienen copias de seguridad:


Hasta se pueden obtener suculentas rebajas si el secuestrador está de buen humor:


También se puede dar el caso que después de pagar el rescate no se puedan descifrar los ficheros ya que puede ser una variante del virus que no sea escrita por al persona con la que hablamos. Es el problema de las múltiples variantes:



Fuentes:
https://www.fireeye.com/blog/threat-research/2015/05/teslacrypt_followin.html
http://www.bleepingcomputer.com/forums/t/575875/new-teslacrypt-version-released-that-uses-the-exx-extension/