Una nuova variante di TeslaCrypt, la 4.1a, è in circolazione da pochi giorni: rispetto ai suoi predecessori, questa variante presenta caratteristiche avanzate di offuscamento, anti-debugging e anti-AV ed è in grado di cifrare nuovi tipi di file con le seguenti estensioni:
.7z, .apk, .asset, .avi, .bak, .bik, .bsa, .csv, .d3dbsp, .das, .forge, .iwi, .lbf, .litemod, .litesql, .ltx, .m4a, .mp4, .rar, .re4, .sav, .slm, .sql, .tiff, .upk, .wma, .wmv, .wallet
TeslaCrypt 4.1a utilizza AES-256 per la cifratura dei file (non RSA-4096 come dichiarato nella nota di riscatto) e cancella le copieshadow di Windows per impedire il recupero dei file. Come per le precedenti versioni, questo ransomware viene distribuito come allegato con estensione .zip a messaggi di Email nell’ambito di vaste campagne di spam, di solito mascherato da notifica di consegna di un pacco. Se la vittima apre l’allegato malevolo, viene eseguito automaticamente.
Il ransomware implementa anche una funzione anti-monitoraggio che termina diversi processi di Windows, tra cui Gestione Attività (taskmgr.exe), Editor del Registro di Sistema (regedit.exe), Processore dei Comandi (cmd.exe), SysInternals Process Explorer (procexp.exe) e Configurazione di Sistema (msconfig.exe).
Per mantenere la persistenza sul sistema, questa variante di TeslaCrypt effettua una copia del proprio eseguibile sul disco rigido e crea una voce di Registro che punta alla copia. Inoltre, il malware imposta anche la chiave di Registro EnableLinkedConnections allo scopo di rendere accessibili le unità di rete anche agli utenti non amministratori, consentendo la cifratura dei file, oltre che sul disco rigido, anche sulle condivisioni di rete. Quest’ultima tecnica è comune a tutte le varianti di TeslaCrypt.
La richiesta di riscatto viene visualizzata utilizzando 3 metodi: pagina HTML, file di testo, immagine PNG.
Esempio:
Se TeslaCrypt 4.1a riesce a cifrare correttamente i file sul sistema, avvia una routine di callback che tenta di inviare richieste HTTPPOST a sei differenti URL. I dati inviati consentono agli attaccanti di tenere traccia delle loro vittime e includono informazioni sulla configurazione del PC, la versione del malware, un indirizzo Bitcoin generato in modo casuale e altre informazioni necessarie a ricostruire la chiave per recuperare i file cifrati. A dimostrazione della rapidità con cui questo tipo di malware si evolve e si diffonde, Bleeping Computer ha pubblicato un post relativo ad un’altra variante di TeslaCrypt, la 4.1b, che presenta minime differenze rispetto a quella sopra descritta.