TeslaCrypt 2.0 – zagrożenie dla graczy wyłudzające okup w wysokości 500 dolarów

Wczesne próbki trojana TeslaCrypt, który od razu zyskał miano zmory graczy komputerowych, zostały wykryte w lutym 2015 r. Oprócz innych rodzajów plików szkodnik ten próbuje szyfrować dane związane z grami: zapisane stany gry, profile użytkownika, zapisane powtórki (np. z gier wyścigowych) itd. TeslaCrypt nie szyfruje plików o rozmiarze większym niż 268 MB.

Mechanizm infekcji

Infekując nową ofiarę, TeslaCrypt generuje unikatowy adres Bitcoin w celu otrzymania okupu od ofiary oraz tajny klucz w celu pobrania pieniędzy. Serwery kontroli trojana są zlokalizowane w sieci Tor, a tajny klucz, przy użyciu którego zostają zaszyfrowane pliki użytkownika, nie jest zapisywany na dysku twardym, co znacznie komplikuje proces odszyfrowywania danych.

Eksperci z Kaspersky Lab zaobserwowali, że szkodliwe programy z rodziny TeslaCrypt rozprzestrzeniają się za pośrednictwem zestawów exploitów Angler, Sweet Orange oraz Nuclear. Zgodnie z tym mechanizmem rozprzestrzeniania szkodliwego oprogramowania, ofiara odwiedza zainfekowaną stronę internetową, a szkodliwy kod wykorzystuje luki w zabezpieczeniach przeglądarki, zwykle we wtyczkach, aby zainstalować na atakowanym komputerze wyspecjalizowane szkodliwe oprogramowanie.

"TeslaCrypt - szkodnik polujący na graczy - został stworzony w celu oszukiwania i zastraszania użytkowników. Jego poprzednia wersja wyświetlała ofierze komunikat o zaszyfrowaniu plików przy użyciu zaawansowanego algorytmu RSA-2048, dając tym samym do zrozumienia, że dane można odzyskać wyłącznie płacąc okup. W rzeczywistości cyberprzestępcy nie zastosowali tego algorytmu. W swojej najnowszej modyfikacji TeslaCrypt przekonuje ofiary, że mają do czynienia z innym, uważanym za znacznie skuteczniejsze, oprogramowaniem szyfrującym - CryptoWall. Ponownie, jest to jedynie zasłona dymna - wszystkie odsyłacze prowadzą do serwera TeslaCrypt. Jak widać, twórcom TeslaCrypt nie wystarczy to, że pozbawiają graczy ich danych - chcą dodatkowo zwiększyć swoją skuteczność, zastraszając informacjami o technologiach, których wcale nie używają" - powiedział Fiedor Sinicyn, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.

Zalecenia dla użytkowników

Eksperci z Kaspersky Lab przygotowali trzy porady, dzięki którym użytkownicy będą mogli lepiej zabezpieczyć się przed potencjalną infekcją szkodliwego oprogramowania szyfrującego:

• Regularnie twórz kopie zapasowe wszystkich swoich istotnych plików. Kopia powinna być przechowywana na nośniku, który jest fizycznie odłączany od komputera natychmiast po jej wykonaniu.
• Niezwykle istotne jest niezwłoczne uaktualnianie oprogramowania, zwłaszcza przeglądarki internetowej oraz jej wtyczek.
• Jeśli mimo to szkodliwy program przedostanie się do systemu, najlepiej zwalczy go najnowsza wersja produktu bezpieczeństwa z uaktualnionymi bazami danych oraz wyspecjalizowanymi modułami bezpieczeństwa.

Produkty firmy Kaspersky Lab wykrywają opisywany szkodliwy program jako Trojan-Ransom.Win32.Bitman.tk i skutecznie chronią użytkowników przed tym zagrożeniem. Ponadto rozwiązania Kaspersky Lab są wyposażone w moduł zapobiegający kryptograficznym szkodliwym programom, który rejestruje aktywność, gdy podejrzane aplikacje próbują otworzyć prywatne pliki użytkownika, i natychmiast tworzy ich lokalne, chronione kopie zapasowe. W ten sposób użytkownicy są chronieni przed nieznanym jeszcze szkodliwym oprogramowaniem kryptograficznym.

Kaspersky Lab dokłada wszelkich starań, by chronić użytkowników przed oprogramowaniem wyłudzającym okup. W kwietniu firma uruchomiła wraz z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji stronę internetową Ransomware Decryptor. Przy jej pomocy ofiary szkodliwego oprogramowania CoinVault mogą odzyskać zaszyfrowane dane bez płacenia okupu cyberprzestępcom.

Źródło informacji: firma Kaspersky Lab