Новая версия TeslaCrypt использует улучшенные техники обхода обнаружения

Создатели TeslaCrypt выпустили новую версию вымогательского ПО, получившую ряд существенных улучшений. По данным экспертов Endgame, TeslaCrypt 4.1A используется злоумышленниками уже около недели.

В новой версии улучшены техники обфускации и обхода обнаружения антивирусными решениями, а также добавлена поддержка шифрования файлов с расширениями (.7z; .apk; .asset; .avi; .bak; .bik; .bsa; .csv; .d3dbsp; .das; .forge; .iwi; .lbf; .litemod; .litesql; .ltx; .m4a; .mp4; .rar; .re4; .sav; .slm; .sql; .tiff; .upk; .wma; .wmv; и .wallet). Шифрование осуществляется с помощью 256-битного алгоритма шифрования AES.

Как и предыдущие версии TeslaCrypt, 4.1A распространяется через фишинговые письма с уведомлением о доставке. Письмо содержит вложенный zip-файл, представляющий собой JavaScript-загрузчик, использующий Windows Script Host (WSH) или WScript для загрузки полезной нагрузки. После распаковки zip-файла вызывается WSH для выполнения кода. Дроппер загружает TeslaCrypt через GET-запрос к greetingsyoungqq[.]com/80.exe и выполняет файл.

Для обхода обнаружения вредонос использует COM-объекты и удаляет Zone.Identifier ADS. С помощью API CoInitialize() и CoCreateInstance() вредонос способен контролировать DirectShow через Software\Microsoft\DirectShow\PushClock. В TeslaCrypt 4.1A также реализована функция обхода пяти стандартных приложений для мониторинга процессов и администрирования Windows (диспетчера задач, редактора реестра, командной оболочки, программы Process Explorer и компонента «Конфигурация системы»).