Infekując nową ofiarę, TeslaCrypt generuje unikatowy adres Bitcoin w celu otrzymania okupu od ofiary oraz tajny klucz w celu pobrania pieniędzy. Serwery kontroli trojana są zlokalizowane w sieci Tor, a tajny klucz, przy użyciu którego zostają zaszyfrowane pliki użytkownika, nie jest zapisywany na dysku twardym, co znacznie komplikuje proces odszyfrowywania danych.
Pracownicy Kaspersky Lab zaobserwowali, że szkodliwe programy z rodziny TeslaCrypt rozprzestrzeniają się za pośrednictwem zestawów exploitów Angler, Sweet Orange oraz Nuclear. Zgodnie z tym mechanizmem rozprzestrzeniania szkodliwego oprogramowania, ofiara odwiedza zainfekowaną stronę internetową, a szkodliwy kod wykorzystuje luki w zabezpieczeniach przeglądarki, zwykle we wtyczkach, aby zainstalować na atakowanym komputerze wyspecjalizowane szkodliwe oprogramowanie.
“TeslaCrypt – szkodnik polujący na graczy – został stworzony w celu oszukiwania i zastraszania użytkowników. Jego poprzednia wersja wyświetlała ofierze komunikat o zaszyfrowaniu plików przy użyciu zaawansowanego algorytmu RSA-2048, dając tym samym do zrozumienia, że dane można odzyskać wyłącznie płacąc okup. W rzeczywistości cyberprzestępcy nie zastosowali tego algorytmu. W swojej najnowszej modyfikacji TeslaCrypt przekonuje ofiary, że mają do czynienia z innym, uważanym za znacznie skuteczniejsze, oprogramowaniem szyfrującym – CryptoWall. Ponownie, jest to jedynie zasłona dymna – wszystkie odsyłacze prowadzą do serwera TeslaCrypt. Jak widać, twórcom TeslaCrypt nie wystarczy to, że pozbawiają graczy ich danych – chcą dodatkowo zwiększyć swoją skuteczność, zastraszając informacjami o technologiach, których wcale nie używają” – powiedział Fiedor Sinicyn, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
