TeslaCrypt

¿Qué es?

TeslaCrypt, también llamado Cryptesla, es un malware de tipo ramsonware que se enfoca en infectar dispositivos Windows para cifrar sus archivos y exigir un rescate para liberar sus datos.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

Modifica el sistema afectado y crea claves de registro para generar persistencia.
Cifra los archivos de los usuarios utilizando algoritmos como AES y RSA, para que los archivos no sean accesibles.
Genera un mensaje de rescate en la pantalla del usuario del sistema afectado, que solicita a la víctima que pague una cantidad de dinero en criptomonedas (generalmente, Bitcoin) a cambio de la clave de descifrado para recuperar sus datos.
Puede eliminar las copias de seguridad del sistema y otros mecanismos de recuperación para evitar que los usuarios recuperen sus datos sin pagar el rescate.
Cifra tanto archivos comunes (documentos e imágenes) como también tipos de archivos específicos de videojuegos, como partidas guardadas, configuraciones y perfiles.
Crea archivos adicionales con las instrucciones para el pago del rescate.
Emplea diversas técnicas para evadir la detección por parte de soluciones antivirus y antimalware, como empaquetar y cifrar su código malicioso.
Utiliza conexiones a servidores de mando y control (C2) para descargar la clave pública del cifrado, registrar la infección, enviar la nota de rescate y realizar otras actividades maliciosas.

Sistemas afectados

Los principales dispositivos afectados son:

Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de enlaces de descarga de software comprometido, a través de programas de explotación (exploit kits) que aprovechan vulnerabilidades no parcheadas en los sistemas y a través de sitios web comprometidos que lo descargan y ejecutan automáticamente sin intervención del usuario.