TeslaCrypt 4.1A обходит приложения для мониторинга процессов и администрирования


TeslaCrypt 4.1A - новая версия вымогательского ПО семейства TeslaCrypt, получившая ряд существенных улучшений.

В TeslaCrypt 4.1A улучшены техники обфускации и обхода обнаружения антивирусными решениями. Также во вредоносное ПО добавлена поддержка шифрования файлов с расширениями:

  • .7z; .apk; .asset; .avi; .bak; .bik; .bsa; .csv; .d3dbsp; .das; .forge; .iwi; .lbf; .litemod; .litesql; .ltx; .m4a; .mp4; .rar; .re4; .sav; .slm; .sql; .tiff; .upk; .wma; .wmv; и .wallet.


Шифрование осуществляется с помощью 256-битного алгоритма шифрования AES.

Распространяется TeslaCrypt 4.1A посредством фишинговых писем с уведомлением о доставке. Такое письмо содержит вложенный zip-файл, который представляет собой JavaScript-загрузчик, использующий Windows Script Host (WSH) или WScript для загрузки полезной нагрузки. После распаковки zip-файла вызывается WSH для выполнения кода. Дроппер загружает TeslaCrypt через GET-запрос к

  • greetingsyoungqq[.]com/80.exe

и выполняет файл.

Для обхода своего обнаружения вредонос использует COM-объекты, при этом удаляет Zone.Identifier ADS. С помощью API CoInitialize() и CoCreateInstance() зловред осуществляет контроль DirectShow через

  • Software\Microsoft\DirectShow\PushClock


Кроме всего прочего в TeslaCrypt 4.1A была реализована функция обхода пяти стандартных приложений для мониторинга процессов и администрирования Windows:

  • диспетчера задач;
  • редактора реестра;
  • командной оболочки;
  • программы Process Explorer;
  • компонента "Конфигурация системы".