image

Nieuwe versie TeslaCrypt in het wild gesignaleerd

woensdag 18 november 2015, 11:06 door Redactie, 4 reacties

Er gaat een nieuwe versie rond van de hardnekkige ransomware trojan TeslaCrypt. Hoewel er niet veel vernieuwd lijkt te zijn aan de software, is het erg lastig om ervan af te komen.De nieuwe variant, TeslaCrypt v2.2.0, versleutelt bestanden met de .ccc-bestandsextensie, zoals in eerdere versies ook gebeurde.

Wel nieuw is dat er meerdere namen voor de losgeld- notificatiebestanden worden gebruikt. Volgens berichten op fora kan die bestandsnaam variëren en ziet het eruit als ‘_how_recover_.HTML’ of ‘_how_recover_.TXT’.

De ransomware TeslaCrypt werd eerder dit jaar voor het eerst aangetroffen en heeft het gemunt op bestanden met extensies die vooral met games te maken hadden. Om weer toegang tot de bestanden te krijgen, werd vaak 500 dollar geëist.

Volgens Bleepingcomputer is het vrijwel onmogelijk om de versleuteling van TeslaCrypt v2.2.0 ongedaan te maken zonder de cybercriminelen te betalen. Omdat bij versie 1 nog gebruik werd gemaakt van een symmetrische encryptiemethode, werd al snel een tool ontwikkeld om gegijzelde bestanden ‘te bevrijden’ zonder te hoeven betalen. Bij deze nieuwe variant werkt die tool helaas niet meer.

Reacties (4)
18-11-2015, 12:46 door Anoniem
Ik heb een realtime back-up oplossing die alle gemuteerde versies van bestanden bewaard tot er een back-up van van deze realtime back-up gemaakt wordt. Nu ben ik ook maar een mens en is een stommiteit nooit uit te sluiten. Om die reden wil ik graag bestandsextensies die gepaard gaan met Ransomware uitsluiten van de back-up. Ik heb er tenslotte toch niets meer aan in dat geval. Helaas kom ik niet verder dan:

TeslaCrypt: .ccc & .abc

Het gaat dus niet om de bestanden die ze crypten, maar de extensies (of een andere standaard aanpassing in de naam) die aan het bestand gegeven wordt. Weet iemand of daar een lijst van beschikbaar is?

Een korte zoektocht leverde me niets meer op dan bovenstaande. Iemand met betere search skills of bekend met een dergelijke lijst?
18-11-2015, 14:02 door dutchfish
Door Anoniem: Ik heb een realtime back-up oplossing die alle gemuteerde versies van bestanden bewaard tot er een back-up van van deze realtime back-up gemaakt wordt. Nu ben ik ook maar een mens en is een stommiteit nooit uit te sluiten. Om die reden wil ik graag bestandsextensies die gepaard gaan met Ransomware uitsluiten van de back-up. Ik heb er tenslotte toch niets meer aan in dat geval. Helaas kom ik niet verder dan:

TeslaCrypt: .ccc & .abc

Het gaat dus niet om de bestanden die ze crypten, maar de extensies (of een andere standaard aanpassing in de naam) die aan het bestand gegeven wordt. Weet iemand of daar een lijst van beschikbaar is?

Een korte zoektocht leverde me niets meer op dan bovenstaande. Iemand met betere search skills of bekend met een dergelijke lijst?

Al gekeken in de changelog van deze tool?
http://download.bleepingcomputer.com/BloodDolly/changelog.txt
18-11-2015, 14:49 door Anoniem
Door dutchfish:Al gekeken in de changelog van deze tool?
http://download.bleepingcomputer.com/BloodDolly/changelog.txt
Nee, maar nu wel, thx

Ik ben er wel achter dat niet alle ransomware de extensie veranderd, maar deze worden nu in ieder geval afgevangen.
21-11-2015, 21:54 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.