据Emsisoft的安全研究员xXToffeeXx介绍，一款名为TeslaWare的勒索程序正被黑客在网上进行推广和出售。xXToffeeXx告诉我们，他已经获取到了该勒索程序的样本文件，并对其进行了深入的研究。令xXToffeeXx感到惊讶的是，他发现了TeslaWare的营销海报，一份制作精美和有着巨大吸引力的海报。

　　TeslaWare正被黑客在网上出售

　　黑客目前正在网上以35~70欧元的价格出售TeslaWare勒索程序，而具体价格则取决于买家对于勒索程序的定制要求。此外为了吸引买家，出售TeslaWare的黑客论坛，更是为其精心设计了一份专门的营销海报。该海报不仅结合了特斯拉汽车的标志，还对勒索程序的规格价格等信息进行了相应的描述。

　　从海报上我们可以看到，买家可以根据其想要自定义的功能来灵活选购。TeslaWare的价目表如下：
 

　　35€定制BTC

　　40€定制BTC和文本

　　50€定制BTC，文本，计时器和密码

　　70€以上，可定制GUI

　　该海报还列出了TeslaWare的以下功能：

　　AES 256位加密

　　计数器

　　说明

　　文件解密

　　AV工具无法解密

　　100%免杀

　　可更换壁纸

　　虽然，以上大多数列出的功能TeslaWare都具备，但可以肯定的是TeslaWare不可能100%免杀和被免费解密。

　　TeslaWare可被解密

　　这里要告诉大家一个好消息，经研究发现TeslaWare程序目前还存有诸多缺陷，这也就意味着受感染用户可以免费解密被加密的文件。因此，如果你的计算机感染了TeslaWare请不要支付赎金，你可以与我们取得联系获取相关的文件解密方法。
 

　　此外，为了广大用户的安全，我在这里不会公布任何有关该勒索程序的缺陷信息。因为，勒索软件的开发人员经常会光顾我们的网站。对于已经感染了的用户，可以在TeslaWare帮助和支持的主题张贴你的帮助请求。

　　玩俄罗斯轮盘游戏的TeslaWare

　　由于TeslaWare勒索程序是基于.NET编写的，因此我们可以看到它完整的工作视图。这里我可以告诉大家的是，TeslaWare确实是一个设计混乱，效率低下的勒索程序。正是由于它的这些缺陷，也让我们拥有了更多的时间来检测感染。尽管如此，但不得不提醒大家的是如果你不支付赎金且履行承诺，则该勒索程序很有可能会删除你的文件。

　　当TeslaWare被运行后，它将使用AES-256加密文件，并对驱动器和文件夹进行定位。与大多数针对特定文件扩展名的勒索程序不同，TeslaWare将加密除了.Tesla，.lnk，.exe，.dll和.sys格式之外的所有文件。

　　而对于已被加密的文件，TeslaCrypt将会在这些文件名后，追加一个.Tesla的扩展名。例如一个名为test.jpg的正常文件，加密后则变为了test.jpg.Tesla。
 

　　加密完成后，受感染用户屏幕将会显示DelaWare赎金界面，如下：
 

　　我们可以发现，在这个赎金界面右下角位置有两个定时器。第一个计时器被设置为50分钟，一旦计时器全部变为0时，TeslaWare将会从受害者的桌面或子文件夹中随机删除10个文件。这也符合了俄罗斯轮盘游戏“赌”的特征。
 

　　而第二个计时器被设置为了72小时，当它变为0时，TeslaWare将删除C盘和驱动器上的所有文件。

　　最后，TeslaWare将尝试下载并将受害者的桌面壁纸设置为Nikola Tesla的照片，如下所示。
 

　　TeslaWare具有创建共享和蠕虫的能力

　　研究人员发现，在TeslaWare中仍有两个功能未被开启。第一功能是它允许开发人员，在受害者的计算机上创建新的网络共享。这将意味着，如果受害者的机器没有防火墙保护，那么攻击者将可能通过它来进一步的访问受害者的机器。

　　另一个功能就是，TeslaWare会将共享传播到其它计算机上。其中一个NSpread()的函数会将可执行文件复制到网络共享中，然后在这些共享中创建名为runme.pif或start.pif的.pif文件。如果远程计算机上的用户执行这些文件，那么TeslaWare也将会被安装在这些计算机上。
 

　　IOCs

　　Hashes:

　　SHA256: b1475898b803b336d1ca6fb26677e5c8fd6c1e5251c0d8b766a7da6a14380259

　　与TeslaWare相关的文件：

　　%LocalAppData%\Tempimage.jpg

　　WindowsDrivers.exe

　　与TeslaWare相关的注册表项：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsDrivers WindowsDrivers.exe

　　网络流量：

　　http://deos.esy.es

　　http://btc.blockr.io

　　http://free-stuff-here.netne.net/RW

　　勒索者留言：

　　All of your important files have been encrypted.

　　To decrypt them you need to obtain the private key from us.

　　We are the only who can provide you the key,so don't try to recover the files by yourself,it will only make the situation worse for you.

　　To get this key you have to send 100$ worth of bitcoins to the address that you can see in the left.For more info please check the links

　　After payment,please paste the TX ID and press "Check".If our system detected the payment as succesfull,your files will be decrypted and you will use your pc as nothing happened.

(责任编辑：宋编辑)