Microsoft ha lanzado una nueva herramienta de rescate ante el creciente número de ordenadores Windows infectados por TeslaCrypt. En el conjunto de parches publicados en el día de ayer se incluye una actualización de la herramienta de eliminación de software malintencionado de Microsoft para recuperar los archivos encriptados por el ransomware.
Las primeras infecciones por el software malicioso fueron reportadas a principios de 2015 . El mecanismo de acción de TeslaCrypt no es nuevo para la industria, se vale de diversos exploit kits, incluyendo Angler, para propagarse a través de todas las versiones de Windows. Una vez infectado el ordenador localiza diferentes tipos de archivos específicos y los encripta utilizando AES 256, para luego exigir una suma de dinero en Bitcoin a cambio de la llave de recuperación.
Los datos de telemetría de Microsoft vía zdnet revelan un aumento en las detecciones de TeslaCrypt a finales de agosto, saltando de menos de 1.000 detecciones al día hasta más de 3.500 en la última semana del mes. Los datos de septiembre concentran las infecciones en tres países principales: EE.UU. con un 39 por ciento, seguido por el Reino Unido y Canadá con un 6,5 y 5,9 por ciento.
La mejor defensa contra el ransomware es la precaución: Copias de seguridad de los archivos sensibles en unidades de almacenamiento externas o remotas.
Las primeras variantes de TeslaCrypt guardaban la clave privada como un archivo local, permitiendo a los usuarios utilizar las herramientas de descifrado Cisco, la actual de Microsoft, u otros kits de desencriptado, para recuperar los archivos. El mecanismo de recuperación era funcional hasta la versión 2.0 del software malicioso, el cual ha mutado en un CryptoWall. En las últimas variantes la clave de recuperación se almacena en un registro binario, hasta ahora imposible de descifrar.