Seguimos viendo como los ciberdelincuentes han visto en el ransomware su particular gallina de los huevos de oro. Son muchos los casos que ya hemos visto de ransomware que se distribuye por los ordenadores de usuarios, instituciones públicas u hospitales, entre otros, para cifrar toda o parte de la información guardada en ellos y posteriormente solicitar una cantidad económica como rescate a los propietarios de la información.
Entre todos ellos, uno de los ransomware más populares es TeslaCrypt, que ahora ha sido mejorado por sus creadores y han puesto en marcha su versión 4.1. Una variante del popular malware que se estima que lleve ya una semana en circulación y que llega con unas capacidades muy mejoradas.
Así es como lo afirman los expertos de Endgame Inc., después de haber invertido mucho tiempo en desarrollar diferentes técnicas para acabar con TeslaCrypt. En esta ocasión, la versión 4.1 del popular ransomware ahora es capaz de cifrar archivos con otras muchas extensiones como 7z, .apk, .asset, .avi, .bak, .bik, .bsa, .csv, .d3dbsp, .das, .forge, .iwi, .lbf, .litemod, .litesql, .ltx, .m4a, .mp4, .rar, .re4, .sav, .slm, .sql, .tiff, .upk, .wma, .wmv, y .wallet.
Por lo tanto, si somos infectados por TeslaCrypt, podrán ser muchos más archivos los que en esta ocasión conseguirá cifrar y a los que no tendremos acceso, entre ellos nuestras copias de seguridad, por lo que la recuperación de los datos se complica aún. Además, esta nueva cepa de TeslaCrypt utiliza el estándar de cifrado AES 256 para dejar todos los archivos afectados lejos del alcance de cualquiera.
La manera de distribuirse es idéntica a la de sus anteriores versiones, en eso no cambia, y llega a los equipos a través de un fichero adjunto en diferentes campañas de correos electrónicos de spam. Cuando las víctimas se disponen a abrir el fichero, que va en formato .ZIP, un código Javascript se ejecuta en el equipo para descargar el ransomware TeslaCrypt.
Una vez que esto ocurre la cosa se complica, puesto que la versión 4.1 del ransomware también implementa una función anti-monitoreo para evitar ser detectada. Es capaz de finalizar varios procesos de Windows como el Administrador de tareas, el editor del registro, los comandos Shell, etc.
Pero por si fuera poco, esta versión de TeslaCrypt ahora mantiene su persistencia en los equipos infectados gracias a que es capaz de realizar una copia de sí mismo en el disco duro y crear una nueva entrada en el registro que apunte a esa copia.