Il ransomware continua ad essere una dei maggiori pericoli per gli utenti di internet, nonostante la chiusura dei server di "TeslaCrypt", con la diffusione pubblica di una MasterKey per decifrare senza dove pagare il riscatto per gli eventuali file criptati o dopo il defacciamento dei server per il ransomware "Locky" da parte di White Hat o Hacker buoni che hanno sostituito le parti infette dei codici con una innocua stringa di testo che recita "STUPID LOCKY" (chiaramente rivolta agli ideatori del ransomware così bravi a danneggiare gli altrui computer ma non altrettanto bravi a difendere i propri server da altri attacchi) gli attacchi attraverso mail più o meno credibili continuano regolarmente.

''Attenzione!!!
È stata rivelata un’attività illegale. Il sistema operativo è stata bloccata per una violenza delle leggi della Repubblica Italiana!'' Questo avviso è comparso oggi pomeriggio sul pc di un mio cliente; questo falso avviso si presenta come una pagina web (quindi caricata da un browser) viene inserita in ''esecuzione automatica'' in modo tale che ad ogni avvio del pc si carica in automatico.

Eravamo abituati a vederlo nei nostri Computer, il ransomware con la sua pagina minacciosa dove varie Autorità Nazionali (vedi virus Guardia di Finanza) ci avvisavano di averci bloccato il PC in quanto usato per attività criminose (addirittura!) e per sbloccarlo bisognava pagare un certo importo (da qui il nome ransom); ecco ora ripresentarsi sulle piattaforme dei nostri amati smartphone.

Android.Trojan. Koler.A, questo il nome della variante per Android (il sistema operativo operante su buona parte degli smartphone in circolazione), cerca di installarsi nell'apparecchio ingannando l'utente, sostenendo di essere un lettore video utilizzato per l'accesso (privilegiato) a determinati contenuti video. Questo trucco viene utilizzato a causa dell'impossibilità per una app di autoinstallarsi (cosa che invece avveniva tranquillamente con la versione per PC); una volta installato il ransomware apre una pagina del browser visualizzando un logo generico mentre nel frattempo, l'APK chiama uno degli oltre 200 domini noti per essere coinvolti nel sistema inviando anche IMEI del dispositivo.
Il server identifica la posizione della vittima tramite il suo IP e risponde con la pagina HTML localizzata nella lingua della vittima: [continua]

In Italia è in crescita il numero dei PC infettati dal ransomware TeslaCrypt e dalle sue varianti. L'infezione arriva di solito con la solita mail il cui mittente è apparentemente una persona conosciuta presente nei nostri contatti; il testo del messaggio al momento risulterebbe vuoto, ma potrebbe cambiare il modus operandi dei criminali informatici, mentre è sempre presente un allegato in formato compresso ".zip" con un riferimento a fatture e/o note di credito varie.
Aperto l'allegato si trova un file in javascript che una volta cliccato scarica da un server remoto il malware e lo manda in esecuzione sul PC; TeslaCrypt si comporta come tutti i ransomware; codifica tutti i file personali utilizzando un algoritmo e generando due chiavi in modo dinamico.

TeslaCrypt, come detto, ha molte varianti: la versione precedente cifrava i file usando estensioni come ".ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc,, .ccc, .vvv", inoltre utilizzava la chiave di cifratura AES memorizzata nel file cifrato; questa variante ha  delle vulnerabilità che permettono la decodifica dei file compromessi. Quindi se i vostri file hanno acquisito una di queste estensioni dopo l'infezione possiamo ricorrere ad alcuni software per il recupero dei dati compromessi ( http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip - https://github.com/vrtadmin/TeslaDecrypt). E' indispensabile tenere presente che nel PC dovrà necessariamente essere ancora presente un file chiamato key.dat, in tale file il ransomware TeslaCrypt conserva diverse informazioni usate per la codifica dei file ed essenziali per l'attività di decodifica.

L'ultima variante di TeslaCrypt invece cifra i file usando ".xxx, .ttt, .micro" ed usa come algoritmo RSA 4096 bit ed al momento non si è trovata una cura gratuita per decifrare i file. Se vi ritrovate i vostri file con queste estensioni potete rivolgervi solo a servizi esterni a pagamento tipo meggiatolab