In Italia è in crescita il numero dei PC infettati dal ransomware TeslaCrypt e dalle sue varianti. L'infezione arriva di solito con la solita mail il cui mittente è apparentemente una persona conosciuta presente nei nostri contatti; il testo del messaggio al momento risulterebbe vuoto, ma potrebbe cambiare il modus operandi dei criminali informatici, mentre è sempre presente un allegato in formato compresso ".zip" con un riferimento a fatture e/o note di credito varie.
Aperto l'allegato si trova un file in javascript che una volta cliccato scarica da un server remoto il malware e lo manda in esecuzione sul PC; TeslaCrypt si comporta come tutti i ransomware; codifica tutti i file personali utilizzando un algoritmo e generando due chiavi in modo dinamico.
TeslaCrypt, come detto, ha molte varianti: la versione precedente cifrava i file usando estensioni come ".ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc,, .ccc, .vvv", inoltre utilizzava la chiave di cifratura AES memorizzata nel file cifrato; questa variante ha delle vulnerabilità che permettono la decodifica dei file compromessi. Quindi se i vostri file hanno acquisito una di queste estensioni dopo l'infezione possiamo ricorrere ad alcuni software per il recupero dei dati compromessi ( http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip - https://github.com/vrtadmin/TeslaDecrypt). E' indispensabile tenere presente che nel PC dovrà necessariamente essere ancora presente un file chiamato key.dat, in tale file il ransomware TeslaCrypt conserva diverse informazioni usate per la codifica dei file ed essenziali per l'attività di decodifica.
L'ultima variante di TeslaCrypt invece cifra i file usando ".xxx, .ttt, .micro" ed usa come algoritmo RSA 4096 bit ed al momento non si è trovata una cura gratuita per decifrare i file. Se vi ritrovate i vostri file con queste estensioni potete rivolgervi solo a servizi esterni a pagamento tipo meggiatolab
Sono stato infettato da TeslaCrypt, che devo fare?
- Isolare il PC dalla rete dei vostri PC e da eventuali condivisioni è sicuramente la prima cosa da fare, non fate backup (tanto i vostri file sono infetti) per non compromettere anche altre unità. Se avete un backup esterno dei vostri file (siete stati previdenti,bravi), evitate al momento di accedere alla vostra unità di backup, prima ripulite completamente il PC e solo dopo ripristinate i file di backup.
- SOLO in caso di infezione con TeslaCrypt se non avete un backup dei vostri dati evitate al momento di fare una scansione con gli antivirus - antimalware in generale, i quali tolgono magari l'infezione ma anche la possibilità di recuperare i vostri dati cifrati.
- Se avete una vecchia variante del ransomware potete provare il recupero come indicato precedentemente altrimenti rivolgetevi a società esterne a pagamento se i vostri dati da recuperare valgono il prezzo richiesto per l'intervento.
- Evitate di pagare ai pirati informatici, non avete alcuna garanzia di successo per il recupero oltre a incentivare gli autori del malware a continuare in modo proficuo la loro attività (pagare per pagare allora rivolgetevi a società esterne, che di solito analizzano preventivamente la possibilità di recuperare i dati e solo in caso di successo vi offrono il loro servizio)
- Non lasciate acceso troppo tempo il vostro PC per cercare informazioni su come risolvere il problema, usate un altro PC, TeslaCrypt infatti vi chiede un primo riscatto entro 24/48 ore dall'infezione ed un successivo importo maggiorato superato il tempo prestabilito.
