TeslaCrypt 2.0 poluje na graczy komputerowych

Zagrożenie wyłudzające okup w wysokości 500 dolarów.

(źródło: Kaspersky Lab)

(źródło: Kaspersky Lab)

Wczesne próbki trojana TeslaCrypt, który od razu zyskał miano zmory graczy komputerowych, zostały wykryte w lutym 2015 r. Oprócz innych rodzajów plików szkodnik ten próbuje szyfrować dane związane z grami: zapisane stany gry, profile użytkownika, zapisane powtórki (np. z gier wyścigowych) itd. TeslaCrypt nie szyfruje plików o rozmiarze większym niż 268 MB.

Infekując nową ofiarę, TeslaCrypt generuje unikatowy adres Bitcoin w celu otrzymania okupu od ofiary oraz tajny klucz w celu pobrania pieniędzy. Serwery kontroli trojana są zlokalizowane w sieci Tor, a tajny klucz, przy użyciu którego zostają zaszyfrowane pliki użytkownika, nie jest zapisywany na dysku twardym, co znacznie komplikuje proces odszyfrowywania danych.

Pracownicy Kaspersky Lab zaobserwowali, że szkodliwe programy z rodziny TeslaCrypt rozprzestrzeniają się za pośrednictwem zestawów exploitów Angler, Sweet Orange oraz Nuclear. Zgodnie z tym mechanizmem rozprzestrzeniania szkodliwego oprogramowania, ofiara odwiedza zainfekowaną stronę internetową, a szkodliwy kod wykorzystuje luki w zabezpieczeniach przeglądarki, zwykle we wtyczkach, aby zainstalować na atakowanym komputerze wyspecjalizowane szkodliwe oprogramowanie.

„TeslaCrypt – szkodnik polujący na graczy – został stworzony w celu oszukiwania i zastraszania użytkowników. Jego poprzednia wersja wyświetlała ofierze komunikat o zaszyfrowaniu plików przy użyciu zaawansowanego algorytmu RSA-2048, dając tym samym do zrozumienia, że dane można odzyskać wyłącznie płacąc okup. W rzeczywistości cyberprzestępcy nie zastosowali tego algorytmu. W swojej najnowszej modyfikacji TeslaCrypt przekonuje ofiary, że mają do czynienia z innym, uważanym za znacznie skuteczniejsze, oprogramowaniem szyfrującym – CryptoWall. Ponownie, jest to jedynie zasłona dymna – wszystkie odsyłacze prowadzą do serwera TeslaCrypt. Jak widać, twórcom TeslaCrypt nie wystarczy to, że pozbawiają graczy ich danych – chcą dodatkowo zwiększyć swoją skuteczność, zastraszając informacjami o technologiach, których wcale nie używają” – powiedział Fiedor Sinicyn, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.