Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Opisi virusa, 13.03.2015, 01:00 AM

Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Fabijan Vozar iz Emsisofta otkrio je novi malver koji je nazvan TeslaCrypt a koji se predstavlja kao Cryptolocker, trenutno najprepoznatljiviji predstavnik kripto-malvera. Osim uobičajenog asortimana fajlova koje ranosmwarei šifruju, ovaj novi malver šifruje i fajlove koji su povezani sa video igrama. Ransomwarei obično šifruju slike, dokumente i video snimke, ali TeslaCrypt pored toga, šifruje i fajlove koji su povezani sa više od 40 video igara.

Ipak, malver ne zanimaju sve video igre. On šifruje fajlove koji su povezani sa igrama kao što su Call of Duty, StarCraft 2, Diablo, Fallout 3, Minecraft, Half-Life 2, Dragon Age: Originis, The Elder Scrolls, posebno Skyrim, Star Wars: The Knights Of The Old Republic, WarCraft 3, F.E.A.R, Saint Rows 2, Metro 2033, Assassin's Creed, S.T.A.L.K.E.R, Rsident Evil 4, Bioshock 2, i online igre World of Warcraft, Day Z, League of Legends, World of Tanks, i Metin2.

On šifruje određene fajlove za različite EA Sports, Valve i Bethesda igre, fajlove povezane za Steam platformom, kao i RPG Maker, Unity3D i Unreal Engine. Novi ranosmware takođe šifruje fajlove povezane sa iTunes.

Ukupan broj ekstenzija koje cilja ovaj malver je 185, što je manje od ekstenzija koje cilja, na primer TorrentLocker, ali ovaj malver ipak šifruje najveći broj različitih vrsta fajlova koji su povezani sa video igrama.

Malver koristi AES enkripciju, a šifrovani fajlovi dobijaju .ecc ekstenziju.

Malver u početku može izgledati kao Cryptolocker, jer ima sličan vizuelni identitet, ali kada se njihovi kodovi uporede, manje od 10% koda je isto.

Malver se trenutno širi sa kompromitovanog WordPress sajta koji preusmerava korisnike na stranicu na kojoj se nalazi exploit alat Angler.

Angler proverava prisustvo nekoliko virtuelnih mašina, Fiddlera i nekih antivirusnih proizvoda koji koriste Microsoft.XMLDOM i res://protocol. Ako sistem nema ništa od toga, Angler će pokrenuti exploite za CVE-2015-0311 Flash i CVE-2013-2551 IE propuste.

Plaćanje otkupa se vrši preko web sajta koji je na TOR domenu, a svaki primerak ransomwarea ima svoju BTC adresu. Kriminalci primaju i uplate preko PayPal My Cash kartica, ali tada treba platiti duplo više (1000 dolara) nego kada se otkup plaća bitcoinima. To je razumljivo jer je u prvom slučaju rizik veći i kriminalci mogu ostati bez ilegalne zarade koju PayPal može konfiskovati.

Kada malver završi sa šifrovanjem fajlova, on će obrisati sve Shadow Volume Copies i tačke vraćanja sistema u prethodno stanje, kako bi sprečio žrtvu da povrati podatke iz System Restore Points.

I na kraju, malver će pozadinu radne površine zameniti obaveštenjem o otkupu i na radnoj površini kreirati txt fajl pod nazivom HELP_TO_DECRYPT_YOUR_FILES. Na zaključanom ekranu korisnik može proveriti da li je uplata prihvaćena, može uneti ključ za dešifrovanje, a na njemu se nalazi i link za sajt na kome žrtva besplatno može isprobati dešifrovanje fajla po izboru. Na istom sajtu nalazi se uputstvo o načinu na koji treba izvršiti uplatu, a na njemu žrtva ima mogućnost da porukama komunicira sa autorima malvera.

Šifrovanje fajlova koji su povezani sa video igrama pokazuje da sajber kriminalci ciljaju nove niše.

“Mnogo mladih možda nemaju važna dokumenta ili izvorni kod na svom računaru (čak se i fotografije obično čuvaju na Tumblru ili Facebooku), ali sigurno većina njih ima Steam nalog sa nekoliko igara i iTunes nalog pun muzike”, kaže Vadim Kotov, istraživač Bromium Labsa koji je takođe analizirao ovu novu pretnju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Lažni dekripter za STOP Djvu Ransomware nudi se očajnim ljudima uz obećanje da će im besplatno dešifrovati fajlove. Umesto da svoje fajlove vrat... Dalje

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje