{"id":6316,"date":"2015-07-14T11:41:49","date_gmt":"2015-07-14T11:41:49","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=6316"},"modified":"2019-11-22T11:29:57","modified_gmt":"2019-11-22T09:29:57","slug":"teslacrypt-20-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/teslacrypt-20-ransomware\/6316\/","title":{"rendered":"Il ransomware TeslaCrypt 2.0: ancora pi\u00f9 forte e pericoloso"},"content":{"rendered":"<p>I cybercriminali imparano dalle esperienze dei \u201ccolleghi\u201d. Prendiamo ad esempio TeslaCrypt, una famiglia di ransomware relativamente recente (i primi campioni individuati risalgono a febbraio 2015). La caratteristica principale delle prime versioni di TeslaCrypt era che il malware <a href=\"https:\/\/www.kaspersky.it\/blog\/teslacrypt-il-ransomware-che-colpisce-i-gamer\/5775\/\" target=\"_blank\" rel=\"noopener\">colpiva non solo i file \u201ctradizionali\u201d come documenti, foto e video ma anche file che si usano normalmente per i videogiochi<\/a>. All\u2019inizio, per\u00f2, si trattava di un malware piuttosto debole, con un paio di falle tecniche grazie alle quali poteva essere annientato.<\/p>\n<p>Nonostante i creatori del malware spaventassero le vittime con il temuto algoritmo RSA-2048, in realt\u00e0 la crittografia utilizzata non era cos\u00ec forte. Inoltre, durante il processo di cifratura, il malware immagazzinava le chiavi crittografiche in un file sull\u2019hard disk del computer della vittima; in questo modo era possibile salvare la chiave interrompendo le operazioni dell\u2019encryptor oppure si poteva estrarre la chiave prima che fosse riscritta l\u2019area corrispondente dell\u2019hard disk.<\/p>\n<p>Tuttavia, come abbiamo accennato all\u2019inizio del post, i cybercriminali imparano dai propri errori. <a href=\"https:\/\/securelist.com\/blog\/research\/71371\/teslacrypt-2-0-disguised-as-cryptowall\/\" target=\"_blank\" rel=\"noopener\">Nell\u2019ultima versione, TeslaCrypt 2.0, scoperta di recente dai ricercatori di Kaspersky Lab<\/a>, i creatori del malware hanno implementato nuove caratteristiche per evitare che possano essere decifrati i file rubati e scoperti i server command&amp;control del malware.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">The best line of <a href=\"https:\/\/twitter.com\/hashtag\/defense?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#defense<\/a> against any <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> is to have backed up your machines yesterday. <a href=\"https:\/\/t.co\/cpcBqX1Qy2\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/cpcBqX1Qy2<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/560984613708136448?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Innanzitutto \u00e8 stato adottata l\u2019<a href=\"https:\/\/en.wikipedia.org\/wiki\/Elliptic_curve_Diffie%E2%80%93Hellman\" target=\"_blank\" rel=\"noopener nofollow\">algoritmo crittografico basato su curve ellittiche<\/a>, preso dai creatori del <a href=\"https:\/\/www.kaspersky.it\/blog\/nuova-versione-migliorata-del-ransomware-onion-ctb-locker\/5540\/\" target=\"_blank\" rel=\"noopener\">famoso e insidioso ransomware CTB-Locker<\/a>. In secondo luogo, hanno modificato il sistema d\u2019immagazzinamento delle chiavi crittografiche, utilizzando un registro di sistema al posto del file su disco.<\/p>\n<p>In terza istanza, la pagina Internet che gli utenti visualizzano dopo che i propri file sono stati criptati, \u00e8 stata presa da un\u2019altra famiglia di ransomware, Cryptowall. Ovviamente tutte le credenziali di pagamento sono state modificate ma il resto del testo, molto efficace dal punto di vista del \u201cmarketing\u201d, \u00e8 stato copiato integralmente. Il riscatto \u00e8 abbastanza costoso: 500 dollari secondo il tasso di cambio in bitcoin.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/07\/05233029\/tesla_crypt_en_3.png\" alt=\"\" width=\"947\" height=\"903\"><\/p>\n<p>I malware della famiglia TeslaCrypt si diffondono attraverso expoit kit come Angler, Sweet Orange e Nuclear. Il meccanismo \u00e8 il seguente: quando una vittima visita un sito Internet infetto, il codice dannoso dell\u2019exploit sfrutta le vunerabilit\u00e0 del browser (che si trovano di solito nei plugin) per installare il malware nel sistema.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Il #ransomware #TeslaCrypt 2.0: ancora pi\u00f9 forte e complesso<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fs2BN&amp;text=Il+%23ransomware+%23TeslaCrypt+2.0%3A+ancora+pi%C3%B9+forte+e+complesso\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>I paesi pi\u00f9 colpiti sono Stati Uniti, Germania, Regno Unito, Francia, Italia e Spagna. <a href=\"http:\/\/store.kaspersky.it\/prova_gratuita_kaspersky_internet_security_multidevice-769159.html?_ga=1.35756192.1279684190.1404989891&amp;typnews=it_SoMe-2015_pro_ona_smm__onl_b2c_fbo_lnk_______\" target=\"_blank\" rel=\"noopener nofollow\">I prodotti Kaspersky Lab <\/a>identificano un malware appartenente alla famiglia TeslaCrypt, compresa l\u2019ultima versione che abbiamo descritto in questo post, con la voce Trojan-Ransom.Win32.Bitman. I nostri utenti non corrono alcun pericolo.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/07\/05233029\/tesla_crypt_en_12.png\" alt=\"\" width=\"1256\" height=\"673\"><\/p>\n<p>Ecco qualche indicazione per contrastare questa e altre famiglie di ransomware:<\/p>\n<ul>\n<li>Effettuare regolarmente il backup dei file pi\u00f9 importanti. Le copie dei backup devono essere immagazzinate su dispositivi esterni che vanno scollegati immediatamente subito dopo il backup. Ques\u2019ultimo passo \u00e8 molto importante in quanto TeslaCrypt e altri tipi di malware cifrano i drive e le cartelle dei dispositivi collegati al computer infetto, cos\u00ec come l\u2019hard disk locale.<\/li>\n<li>Aggiornare sempre i software dei programmi installati, soprattutto quelli del browser web e relativi plugin.<\/li>\n<\/ul>\n<blockquote class=\"twitter-pullquote\"><p>Il #ransomware #TeslaCrypt 2.0: ancora pi\u00f9 forte e complesso<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fs2BN&amp;text=Il+%23ransomware+%23TeslaCrypt+2.0%3A+ancora+pi%C3%B9+forte+e+complesso\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<ul>\n<li>Nel caso un programma dannoso riesca a infiltrarsi nel sistema, meglio essere dotati dell\u2019<a href=\"http:\/\/store.kaspersky.it\/prova_gratuita_kaspersky_internet_security_multidevice-769159.html?_ga=1.35756192.1279684190.1404989891&amp;typnews=it_SoMe-2015_pro_ona_smm__onl_b2c_fbo_lnk_______\" target=\"_blank\" rel=\"noopener nofollow\">ultima versione del software di sicurezza<\/a>, con i database aggiornati e tutti i moduli attivati.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>I ransomware TeslaCrypt sono famosi per colpire i file dei videogiochi, oltre a foto e altri documenti. La nuova versione \u00e8 ancor pi\u00f9 pericolosa. <\/p>\n","protected":false},"author":421,"featured_media":6318,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[197,1540,1405,1489,22,635,1490],"class_list":{"0":"post-6316","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-anti-malware","10":"tag-cryptowall","11":"tag-cryptoware","12":"tag-ctb-locker","13":"tag-malware-2","14":"tag-ransomware","15":"tag-teslacrypt"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/teslacrypt-20-ransomware\/6316\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/teslacrypt-20-ransomware\/5616\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/teslacrypt-20-ransomware\/5987\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/teslacrypt-20-ransomware\/5771\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/teslacrypt-20-ransomware\/6431\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/teslacrypt-20-ransomware\/8336\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/teslacrypt-20-ransomware\/9314\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/teslacrypt-20-ransomware\/4683\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/teslacrypt-20-ransomware\/5525\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/teslacrypt-20-ransomware\/5802\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/teslacrypt-20-ransomware\/8205\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/teslacrypt-20-ransomware\/8336\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/teslacrypt-20-ransomware\/9314\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/teslacrypt-20-ransomware\/9314\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/anti-malware\/","name":"anti-malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6316","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=6316"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6316\/revisions"}],"predecessor-version":[{"id":19020,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6316\/revisions\/19020"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/6318"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=6316"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=6316"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=6316"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}