In Italia è in crescita il numero dei PC infettati dal ransomware TeslaCrypt e dalle sue varianti. L'infezione arriva di solito con la solita mail il cui mittente è apparentemente una persona conosciuta presente nei nostri contatti; il testo del messaggio al momento risulterebbe vuoto, ma potrebbe cambiare il modus operandi dei criminali informatici, mentre è sempre presente un allegato in formato compresso ".zip" con un riferimento a fatture e/o note di credito varie.
Aperto l'allegato si trova un file in javascript che una volta cliccato scarica da un server remoto il malware e lo manda in esecuzione sul PC; TeslaCrypt si comporta come tutti i ransomware; codifica tutti i file personali utilizzando un algoritmo e generando due chiavi in modo dinamico.

TeslaCrypt, come detto, ha molte varianti: la versione precedente cifrava i file usando estensioni come ".ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc,, .ccc, .vvv", inoltre utilizzava la chiave di cifratura AES memorizzata nel file cifrato; questa variante ha delle vulnerabilità che permettono la decodifica dei file compromessi. Quindi se i vostri file hanno acquisito una di queste estensioni dopo l'infezione possiamo ricorrere ad alcuni software per il recupero dei dati compromessi ( http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip - https://github.com/vrtadmin/TeslaDecrypt). E' indispensabile tenere presente che nel PC dovrà necessariamente essere ancora presente un file chiamato key.dat, in tale file il ransomware TeslaCrypt conserva diverse informazioni usate per la codifica dei file ed essenziali per l'attività di decodifica.
L'ultima variante di TeslaCrypt invece cifra i file usando ".xxx, .ttt, .micro" ed usa come algoritmo RSA 4096 bit ed al momento non si è trovata una cura gratuita per decifrare i file. Se vi ritrovate i vostri file con queste estensioni potete rivolgervi solo a servizi esterni a pagamento tipo meggiatolab