Un nuevo «Primo» de CryptoLocker, llamado TeslaCrypt, cifra los archivos de tus partidas guardadas con AES y pide un rescate para devolvértelas.
Los archivos de progreso de algunos juegos como Minecraft, The Elder Scrolls, League of Legends y Call of Duty están siendo objetivo de un ransomware que los cifra y pide rescate por nada mas y nada menos que 1.000$, ya sea en BitCoins o en tarjetas PayPal My Cash Cards.
Lo curioso de esta nueva cepa es que se concentra principalmente en los archivos de juegos, teniendo como objetivo al rededor de 40 tipos de archivos relacionados con video juegos, entre los que se encuentran RPG Maker, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks y Steam.
Otra cuestión interesante es que este acepta también pagos de PayPal My Cash Cards, que son una especie de tarjetas prepagadas que pueden ser recargadas con dinero y luego transferir ese dinero a una cuenta PayPal introduciendo el código PIN que se encuentra en la tarjeta. Pero si te decantas por esta opción, tendrás que pagar el doble, pues el rescate en BitCoins costaría 500$ mientras que el de PayPal My Cash Cards asciende a 1.000$ el rescate.
Según informan desde TechCrunch, el malware estaría siendo distribuido con un software llamado Angler Exploit Kit, una herramienta que recopila un numero bastante elevado de exploits, y que, una vez que la victima accede a un sitio web malicioso, prueba todos los exploits de su base de datos uno a uno, incluyendo ataques a vulnerabilidades conocidas en MDAC, PDF, etc.
Una vez infectado el equipo, el malware escanea el disco en busca de varios tipos de archivo, incluyendo los de las partidas guardadas de algunos juegos y los encripta agregando también la extensión .ecc al final del archivo.
Las extensiones que busca y encripta el TeslaCrypt son:
.7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb;.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh;.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;.mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm;.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;
Ademas de esto, tambien borra todos los puntos de restauracion y las instantaneas de disco para evitar que recuperes los archivos con Restaurar Sistema o con las Instantaneas de Disco. Finalmente, cambia el fondo de pantalla con una nota pidiendo el rescate y crea otra nota en un archivo llamado HELP_TO_DECRYPT_YOUR_FILES.txt en el escritorio. Aparece una pantalla de bloqueo en la que se explica que tus datos han sido encriptados y que tienes tres días para pagar el rescate.
Allí también encontraras un link al servicio oculto de Tor donde podrás desencriptar un archivo de manera gratuita para comprobar que si son capaces de desencriptar tus datos.
Desafortunadamente no se conoce a la fecha un método para desencriptar estos archivos, por lo que te recomendamos encarecidamente que respaldes tu información en medios externos para prevenir cualquier inconveniente.
Fuente: TechCrunch
