Do laboratorium Kaspersky Lab trafiła próbka odświeżonego zagrożenia TeslaCrypt 2.0. Szkodnik ten w poprzedniej wersji potrafił skutecznie zaszyfrować dziesiątki rozszerzeń najczęściej wykorzystywanych plików oraz żądał za ich odzyskanie haraczu w wysokości kilkuset dolarów. Podobnie jest i tym razem, jednak zmiany w wersji 2.0 są subtelne.

TeslaCrypt oraz TeslaCrypt 2.0 szyfruje następujące pliki:

.7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb;.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh;.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;.mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm;.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

Jakby tego mało łupem szkodliwego oprogramowania padają także dane odpowiedzialne za stan zapisu dla następujących gier:  

Call of Duty, Star Craft 2, Diablo, Fallout 3, Minecraft, Half-Life 2, Dragon Age: Origins, The Elder Scrolls i pliki powiązane z grą TES V: Skyrim, Star Wars: The Knights Of The Old Republic, WarCraft 3, F.E.A.R, Saint Rows 2, Metro 2033, Assassin’s Creed, S.T.A.L.K.E.R., Resident Evil 4, Bioshock 2. Gry online: World of Warcraft, Day Z, League of Legends, World of Tanks, Metin2 i wiele innych.

Co więcej TeslaCrypt oraz TeslaCrypt 2.0 potrafi zaszyfrować pliki platformy Steam oraz pliki powiązane z deweloperskimi narzędziami do tworzenia gier komputerowych: RPG Maker, Unity3D czy chociażby Unreal Engine. TeslaCrypt 2.0 nie szyfruje plików o rozmiarze większym niż 268 MB.

Z przeprowadzonej analizy przez specjalistów z Kaspersky Lab wynika też, że trojan po udanej infekcji żąda okupu w wysokość 500 dolarów. Kwota ta rośnie dwukrotnie, jeśli w wyznaczonym terminie ofiara nie zapłaci okupu za dostęp do plików.

TeslaCrypt w trakcie procesu infekowania generuje unikatowy adres portfela Bitcoin oraz kucz przypisany do konkretnego komputera w celu otrzymania od ofiary okupu. Cyberprzestępcy do komunikacji malware z komputerem wykorzystują sieć TOR, a klucz przy użyciu którego zostają zaszyfrowane pliki użytkownika nie jest zapisywany na dysku twardym – to zupełnie inaczej niż w przypadku pierwszych próbek TeslaCrypt.

Eksperci z Kaspersky Lab zaobserwowali także , że szkodliwe programy z rodziny TeslaCrypt rozprzestrzeniają się za pośrednictwem zestawów exploitów Angler, Sweet Orange oraz Nuclear – potwierdzają to także badania ekspertów z niemieckiego BromiumLabs.

„TeslaCrypt - szkodnik polujący na graczy - został stworzony w celu oszukiwania i zastraszania użytkowników. Jego poprzednia wersja wyświetlała ofierze komunikat o zaszyfrowaniu plików przy użyciu zaawansowanego algorytmu RSA-2048, dając tym samym do zrozumienia, że dane można odzyskać wyłącznie płacąc okup. W rzeczywistości cyberprzestępcy nie zastosowali tego algorytmu. W swojej najnowszej modyfikacji TeslaCrypt przekonuje ofiary, że mają do czynienia z innym, uważanym za znacznie skuteczniejsze, oprogramowaniem szyfrującym – CryptoWall. Ponownie, jest to jedynie zasłona dymna – wszystkie odsyłacze prowadzą do serwera TeslaCrypt. Jak widać, twórcom TeslaCrypt nie wystarczy to, że pozbawiają graczy ich danych – chcą dodatkowo zwiększyć swoją skuteczność, zastraszając informacjami o technologiach, których wcale nie używają” – powiedział Fiedor Sinicyn, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.

I na koniec ciekawostka. Wczesne próbki TeslaCrypt potrafiły podszywać się nie tylko pod CryptoWall, ale także pod CryptoLocker – w zależności od tego, czy szkodnik wykrył swoje uruchomienie na maszynie wirtualnej lub w systemie rzeczywistym – taka właśnie próbka zaszyfrowała pliki jednej z firm działającej w branży reklamowej, która zwróciła się do nas z prośbą o pomoc. Niestety o ile operacja odszyfrowania plików jeszcze przed usunięciem zagrożenia na własną rękę miała szansę powodzenia, o tyle uruchomienie popularnego skanera antywirusowego doprowadziło do usunięcia plików wirusa, ale także pliku key.dat odpowiedzialnego za przechowywanie klucza deszyfrującego.  

Kilka porad

Kaspersky Lab radzi, aby regularnie tworzyć kopie zapasowe wszystkich istotnych plików. Oczywiście kopia zapasowa winna być przechowywana na nośniku, który nie jest fizycznie na stałe podłączony do komputera.

W dobie szalejących zagrożeń internetowych istotne jest również posiadanie aktualnego oprogramowania – przeglądarek oraz wtyczek, które bardzo często zawierają luki (zob. Aktualizacje bezpieczeństwa dla Adobe Flash Player).

Ponadto, Kaspersky Lab by chronić użytkowników przed oprogramowaniem wyłudzającym okup, w kwietniu uruchomił wraz z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji stronę internetową Ransomware Decryptor. Przy jej pomocy ofiary szkodliwego oprogramowania CoinVault mogą odzyskać zaszyfrowane dane bez płacenia okupu cyberprzestępcom. (zob. Krok po kroku jak odzyskać zaszyfrowane pliki przez Ransomware CoinVault).

Jeśli jednak nie ufasz swojemu programowi antywirusowemu i obawiasz się, że Twoje ważne pliki mogą ulec zaszyfrowaniu, polecamy wypróbować polski program Arcabit Internet Security w najnowszej wersji, który dzięki zastosowaniu autorskiego mechanizmu SafeStorage potrafi odzyskać dane nawet po ich zaszyfrowaniu.

Szczegóły techniczne dotyczące omawianego zagrożenia są dostępne w języku angielskim na stronie https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall

AUTOR:

Adrian Ścibor

Podziel się