Očajne žrtve kripto-ransomwarea pristaju na ucenu: TeslaCrypt za dva meseca ''zaradio'' 76000 dolara

Vesti, 19.05.2015, 07:00 AM

Bestidnost sajber kriminalaca koji šire ransomware nema granice. Pošto šifruju fajlove nesrećnih korisnika zaraženih računara da bi ih ucenjivali, oni se predstavljaju kao provajderi usluga nudeći tehničku podršku i "popuste" za svoje “klijente”.

Istraživači iz firme FireEye nedavno su prikupili poruke sa web sajta koji pripada tvorcima ransomwarea TeslaCrypt, a koji im služi za komunikaciju sa žrtvama. Poruke koje su prikupili istraživači nude redak uvid u razmišljanje onih koji se bave ovom vrstom kriminala, kao i nevolja do kojih dovodi njihova pohlepa.

To su priče o očaju: oca koji se bori da preživi “u ovom preskupom svetu” i kome su kriminalci zarobili fotografije njegove bebe; radnika jedne kompanije koji je zbog malvera izgubio važne poslovne dokumente i koji stahuje da će ostati bez posla; firme koja se bavi čišćenjem kuća i koju su osnovale čistačice koje ne mogu da priušte plaćanje otkupa; neprofitne organizacije koja obezbeđuje novac za lečenje raka i mnoge druge.

U nekim slučajevima napadači su se složili da smanje svoje zahteve, ali uglavnom ne zbog toga što saosećaju sa žrtvama, već zbog toga što računaju da je bolje i za njih da žrtve plate onoliko koliko mogu nego da ne plate uopšte.

Kada je neko rekao da može da plati samo 100 dolara, kriminalci su odgovorili da je miminum 250 dolara. U drugom slučaju, pristali su da za 150 dolara vrate nečije fajlove.

Poruke otkrivaju i da iako ljudi plaćaju, to ne garantuje da će povratiti sve svoje fajlove. Na primer, jedna od žrtava je imala računar sa dva instalirana kripto-ransomwarea. Dešifrovanje fajlova koje je šifrovao TeslaCrypt nije pomoglo jer su fajlovi već bili šifrovani zahvaljujući drugom kripto-malveru koji je takođe inficirao računar. U jednom drugom slučaju, neko se žalio da je mogao da dešifruje samo fajlove koji su se nalazili na C: drajvu.

Ironija je da su kriminalci nekima od onih koji su platili savetovali da najpre naprave backup šifrovanih fajlova pre nego što pokušaju da ih dešifruju uz pomoć alata koji oni obezbeđuju žrtvama. “Da se izbegne gubitak fajlova”, govore kriminalci.

Ovo je dobar savet ali dolazi od pogrešnih ljudi i u lošem trenutku - onda kada je uglavnom kasno. Back up fajlova treba raditi redovno, a fajlove treba čuvati na disku koji nije uvek povezan sa računarom i kome može biti pristupljeno posle dodatne provere identiteta. U suprotnom, u slučaju infekcije ransomwareom backup takođe može biti kriptovan.

Istraživači iz FireEye su otkrili i pratili 1231 bitcoin adresa koje je koristila grupa koja stoji iza malvera TeslaCrypt, i to u periodu između februara i aprila ove godine. TeslaCrypt za svaku infekciju generiše jedinstvenu bitcoin adresu gde otkup mora biti plaćen, što drugim rečima znači da svaka od ovih adresa predstavlja jednu žrtvu.

Nakon analize transakcija u koje su umešane ove adrese, istraživači su zaključili da su 163 žrtve (13%) platile otkup bitcoinima. Još 20 žrtava je platilo sa PayPal My Cash karticama. Analiza je pokazala i da je kriminalna grupa koja stoji iza malvera TeslaCrypt zaradila ukupno 76522 dolara, i to u periodu između 7. februara i 28. aprila.

Poređenja radi, jedan drugi ransomware koji je šifrovao fajlove, nazvan Cryptolocker, prema nekim procenama uspeo je da zaradi 3 miliona dolara za devet meseci koliko je trajala operacija kriminalne grupe koja ga je distribuirala, do maja 2014. Malver CryptoWall je tokom šest meseci prošle godine zaradio više od milion dolara.

Iako novac koji je kriminalcima "zaradio" TeslaCrypt nije ni blizu zarade koje su ostavrili Cryptolocker i CryptoWall, desetine hiljada dolara za samo dva meseca su dokaz da je ova vrsta pretnje i dalje efikasno sredstvo za punjenje džepova sajber kriminalaca.

TeslaCrypt se pojavio u martu i privukao odmah pažnju medija zbog svog specifičnog izbora fajlova koje dešifruje - reč je o fajlovima koji pripadaju video igrama. TeslaCrypt obično traži 2,5 bitcoina (600 dolara/520 evra) da bi žrtvi fajlovi bili vraćeni u prvobitno stanje. Korisnicima zaraženih računara koji su voljni da plate se više isplati da plaćaju bitconima umesto preko PayPal My Cash, jer će u drugom slučaju morati da plate oko 1000 dolara (880 evra), jer kriminalci moraju da operu taj novac što podrazumeva dodatne troškove za njih.

Žrtve TeslaCrypta su iz celog sveta, od Irana i Šanije do SAD, Brazila, Argentine, Nemačke, Hrvatske i Mongolije.

Dobra vest je da su istraživači iz Cisco Systems nedavno razvili alat koji može da dešifruje fajlove koje su šifrovale neke verzije TeslaCrypta, i to bez plaćanja kriminacima.