13 lipca 2015

TeslaCrypt 2.0 - zagrożenie dla graczy wyłudzające okup w wysokości 500 dolarów

Kaspersky Lab informuje o wykryciu nowego zagrożenia z rodziny TeslaCrypt obejmującej oprogramowanie szyfrujące wyłudzające okup od graczy komputerowych. Po udanej infekcji trojan żąda okupu w wysokości 500 dolarów w zamian za klucz pozwalający na przywrócenie danych. Jeśli ofiara zwleka, wysokość okupu wzrasta dwukrotnie.




Wczesne próbki trojana TeslaCrypt, który od razu zyskał miano zmory graczy komputerowych, zostały wykryte w lutym 2015 r. Oprócz innych rodzajów plików szkodnik ten próbuje szyfrować dane związane z grami: zapisane stany gry, profile użytkownika, zapisane powtórki (np. z gier wyścigowych) itd. TeslaCrypt nie szyfruje plików o rozmiarze większym niż 268 MB.

Mechanizm infekcji

Infekując nową ofiarę, TeslaCrypt generuje unikatowy adres Bitcoin w celu otrzymania okupu od ofiary oraz tajny klucz w celu pobrania pieniędzy. Serwery kontroli trojana są zlokalizowane w sieci Tor, a tajny klucz, przy użyciu którego zostają zaszyfrowane pliki użytkownika, nie jest zapisywany na dysku twardym, co znacznie komplikuje proces odszyfrowywania danych.

Eksperci z Kaspersky Lab zaobserwowali, że szkodliwe programy z rodziny TeslaCrypt rozprzestrzeniają się za pośrednictwem zestawów exploitów Angler, Sweet Orange oraz Nuclear. Zgodnie z tym mechanizmem rozprzestrzeniania szkodliwego oprogramowania, ofiara odwiedza zainfekowaną stronę internetową, a szkodliwy kod wykorzystuje luki w zabezpieczeniach przeglądarki, zwykle we wtyczkach, aby zainstalować na atakowanym komputerze wyspecjalizowane szkodliwe oprogramowanie.

"TeslaCrypt - szkodnik polujący na graczy - został stworzony w celu oszukiwania i zastraszania użytkowników. Jego poprzednia wersja wyświetlała ofierze komunikat o zaszyfrowaniu plików przy użyciu zaawansowanego algorytmu RSA-2048, dając tym samym do zrozumienia, że dane można odzyskać wyłącznie płacąc okup. W rzeczywistości cyberprzestępcy nie zastosowali tego algorytmu. W swojej najnowszej modyfikacji TeslaCrypt przekonuje ofiary, że mają do czynienia z innym, uważanym za znacznie skuteczniejsze, oprogramowaniem szyfrującym - CryptoWall. Ponownie, jest to jedynie zasłona dymna - wszystkie odsyłacze prowadzą do serwera TeslaCrypt. Jak widać, twórcom TeslaCrypt nie wystarczy to, że pozbawiają graczy ich danych - chcą dodatkowo zwiększyć swoją skuteczność, zastraszając informacjami o technologiach, których wcale nie używają" - powiedział Fiedor Sinicyn, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.

Zalecenia dla użytkowników

Eksperci z Kaspersky Lab przygotowali trzy porady, dzięki którym użytkownicy będą mogli lepiej zabezpieczyć się przed potencjalną infekcją szkodliwego oprogramowania szyfrującego:
  • Regularnie twórz kopie zapasowe wszystkich swoich istotnych plików. Kopia powinna być przechowywana na nośniku, który jest fizycznie odłączany od komputera natychmiast po jej wykonaniu.
  • Niezwykle istotne jest niezwłoczne uaktualnianie oprogramowania, zwłaszcza przeglądarki internetowej oraz jej wtyczek.
  • Jeśli mimo to szkodliwy program przedostanie się do systemu, najlepiej zwalczy go najnowsza wersja produktu bezpieczeństwa z uaktualnionymi bazami danych oraz wyspecjalizowanymi modułami bezpieczeństwa.
Produkty firmy Kaspersky Lab wykrywają opisywany szkodliwy program jako Trojan-Ransom.Win32.Bitman.tk i skutecznie chronią użytkowników przed tym zagrożeniem. Ponadto rozwiązania Kaspersky Lab są wyposażone w moduł zapobiegający kryptograficznym szkodliwym programom, który rejestruje aktywność, gdy podejrzane aplikacje próbują otworzyć prywatne pliki użytkownika, i natychmiast tworzy ich lokalne, chronione kopie zapasowe. W ten sposób użytkownicy są chronieni przed nieznanym jeszcze szkodliwym oprogramowaniem kryptograficznym.

Kaspersky Lab dokłada wszelkich starań, by chronić użytkowników przed oprogramowaniem wyłudzającym okup. W kwietniu firma uruchomiła wraz z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji stronę internetową Ransomware Decryptor. Przy jej pomocy ofiary szkodliwego oprogramowania CoinVault mogą odzyskać zaszyfrowane dane bez płacenia okupu cyberprzestępcom.

Szczegóły techniczne dotyczące omawianego zagrożenia są dostępne w języku angielskim na stronie https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.