Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Opisi virusa, 13.03.2015, 01:00 AM

Fabijan Vozar iz Emsisofta otkrio je novi malver koji je nazvan TeslaCrypt a koji se predstavlja kao Cryptolocker, trenutno najprepoznatljiviji predstavnik kripto-malvera. Osim uobičajenog asortimana fajlova koje ranosmwarei šifruju, ovaj novi malver šifruje i fajlove koji su povezani sa video igrama. Ransomwarei obično šifruju slike, dokumente i video snimke, ali TeslaCrypt pored toga, šifruje i fajlove koji su povezani sa više od 40 video igara.

Ipak, malver ne zanimaju sve video igre. On šifruje fajlove koji su povezani sa igrama kao što su Call of Duty, StarCraft 2, Diablo, Fallout 3, Minecraft, Half-Life 2, Dragon Age: Originis, The Elder Scrolls, posebno Skyrim, Star Wars: The Knights Of The Old Republic, WarCraft 3, F.E.A.R, Saint Rows 2, Metro 2033, Assassin's Creed, S.T.A.L.K.E.R, Rsident Evil 4, Bioshock 2, i online igre World of Warcraft, Day Z, League of Legends, World of Tanks, i Metin2.

On šifruje određene fajlove za različite EA Sports, Valve i Bethesda igre, fajlove povezane za Steam platformom, kao i RPG Maker, Unity3D i Unreal Engine. Novi ranosmware takođe šifruje fajlove povezane sa iTunes.

Ukupan broj ekstenzija koje cilja ovaj malver je 185, što je manje od ekstenzija koje cilja, na primer TorrentLocker, ali ovaj malver ipak šifruje najveći broj različitih vrsta fajlova koji su povezani sa video igrama.

Malver koristi AES enkripciju, a šifrovani fajlovi dobijaju .ecc ekstenziju.

Malver u početku može izgledati kao Cryptolocker, jer ima sličan vizuelni identitet, ali kada se njihovi kodovi uporede, manje od 10% koda je isto.

Malver se trenutno širi sa kompromitovanog WordPress sajta koji preusmerava korisnike na stranicu na kojoj se nalazi exploit alat Angler.

Angler proverava prisustvo nekoliko virtuelnih mašina, Fiddlera i nekih antivirusnih proizvoda koji koriste Microsoft.XMLDOM i res://protocol. Ako sistem nema ništa od toga, Angler će pokrenuti exploite za CVE-2015-0311 Flash i CVE-2013-2551 IE propuste.

Plaćanje otkupa se vrši preko web sajta koji je na TOR domenu, a svaki primerak ransomwarea ima svoju BTC adresu. Kriminalci primaju i uplate preko PayPal My Cash kartica, ali tada treba platiti duplo više (1000 dolara) nego kada se otkup plaća bitcoinima. To je razumljivo jer je u prvom slučaju rizik veći i kriminalci mogu ostati bez ilegalne zarade koju PayPal može konfiskovati.

Kada malver završi sa šifrovanjem fajlova, on će obrisati sve Shadow Volume Copies i tačke vraćanja sistema u prethodno stanje, kako bi sprečio žrtvu da povrati podatke iz System Restore Points.

I na kraju, malver će pozadinu radne površine zameniti obaveštenjem o otkupu i na radnoj površini kreirati txt fajl pod nazivom HELP_TO_DECRYPT_YOUR_FILES. Na zaključanom ekranu korisnik može proveriti da li je uplata prihvaćena, može uneti ključ za dešifrovanje, a na njemu se nalazi i link za sajt na kome žrtva besplatno može isprobati dešifrovanje fajla po izboru. Na istom sajtu nalazi se uputstvo o načinu na koji treba izvršiti uplatu, a na njemu žrtva ima mogućnost da porukama komunicira sa autorima malvera.

Šifrovanje fajlova koji su povezani sa video igrama pokazuje da sajber kriminalci ciljaju nove niše.

“Mnogo mladih možda nemaju važna dokumenta ili izvorni kod na svom računaru (čak se i fotografije obično čuvaju na Tumblru ili Facebooku), ali sigurno većina njih ima Steam nalog sa nekoliko igara i iTunes nalog pun muzike”, kaže Vadim Kotov, istraživač Bromium Labsa koji je takođe analizirao ovu novu pretnju.