Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Opisi virusa, 13.03.2015, 01:00 AM

Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Fabijan Vozar iz Emsisofta otkrio je novi malver koji je nazvan TeslaCrypt a koji se predstavlja kao Cryptolocker, trenutno najprepoznatljiviji predstavnik kripto-malvera. Osim uobičajenog asortimana fajlova koje ranosmwarei šifruju, ovaj novi malver šifruje i fajlove koji su povezani sa video igrama. Ransomwarei obično šifruju slike, dokumente i video snimke, ali TeslaCrypt pored toga, šifruje i fajlove koji su povezani sa više od 40 video igara.

Ipak, malver ne zanimaju sve video igre. On šifruje fajlove koji su povezani sa igrama kao što su Call of Duty, StarCraft 2, Diablo, Fallout 3, Minecraft, Half-Life 2, Dragon Age: Originis, The Elder Scrolls, posebno Skyrim, Star Wars: The Knights Of The Old Republic, WarCraft 3, F.E.A.R, Saint Rows 2, Metro 2033, Assassin's Creed, S.T.A.L.K.E.R, Rsident Evil 4, Bioshock 2, i online igre World of Warcraft, Day Z, League of Legends, World of Tanks, i Metin2.

On šifruje određene fajlove za različite EA Sports, Valve i Bethesda igre, fajlove povezane za Steam platformom, kao i RPG Maker, Unity3D i Unreal Engine. Novi ranosmware takođe šifruje fajlove povezane sa iTunes.

Ukupan broj ekstenzija koje cilja ovaj malver je 185, što je manje od ekstenzija koje cilja, na primer TorrentLocker, ali ovaj malver ipak šifruje najveći broj različitih vrsta fajlova koji su povezani sa video igrama.

Malver koristi AES enkripciju, a šifrovani fajlovi dobijaju .ecc ekstenziju.

Malver u početku može izgledati kao Cryptolocker, jer ima sličan vizuelni identitet, ali kada se njihovi kodovi uporede, manje od 10% koda je isto.

Malver se trenutno širi sa kompromitovanog WordPress sajta koji preusmerava korisnike na stranicu na kojoj se nalazi exploit alat Angler.

Angler proverava prisustvo nekoliko virtuelnih mašina, Fiddlera i nekih antivirusnih proizvoda koji koriste Microsoft.XMLDOM i res://protocol. Ako sistem nema ništa od toga, Angler će pokrenuti exploite za CVE-2015-0311 Flash i CVE-2013-2551 IE propuste.

Plaćanje otkupa se vrši preko web sajta koji je na TOR domenu, a svaki primerak ransomwarea ima svoju BTC adresu. Kriminalci primaju i uplate preko PayPal My Cash kartica, ali tada treba platiti duplo više (1000 dolara) nego kada se otkup plaća bitcoinima. To je razumljivo jer je u prvom slučaju rizik veći i kriminalci mogu ostati bez ilegalne zarade koju PayPal može konfiskovati.

Kada malver završi sa šifrovanjem fajlova, on će obrisati sve Shadow Volume Copies i tačke vraćanja sistema u prethodno stanje, kako bi sprečio žrtvu da povrati podatke iz System Restore Points.

I na kraju, malver će pozadinu radne površine zameniti obaveštenjem o otkupu i na radnoj površini kreirati txt fajl pod nazivom HELP_TO_DECRYPT_YOUR_FILES. Na zaključanom ekranu korisnik može proveriti da li je uplata prihvaćena, može uneti ključ za dešifrovanje, a na njemu se nalazi i link za sajt na kome žrtva besplatno može isprobati dešifrovanje fajla po izboru. Na istom sajtu nalazi se uputstvo o načinu na koji treba izvršiti uplatu, a na njemu žrtva ima mogućnost da porukama komunicira sa autorima malvera.

Šifrovanje fajlova koji su povezani sa video igrama pokazuje da sajber kriminalci ciljaju nove niše.

“Mnogo mladih možda nemaju važna dokumenta ili izvorni kod na svom računaru (čak se i fotografije obično čuvaju na Tumblru ili Facebooku), ali sigurno većina njih ima Steam nalog sa nekoliko igara i iTunes nalog pun muzike”, kaže Vadim Kotov, istraživač Bromium Labsa koji je takođe analizirao ovu novu pretnju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje

Novi trojanac Efimer se širi preko hakovanih WordPress sajtova i imejlova

Novi trojanac Efimer se širi preko hakovanih WordPress sajtova i imejlova

Istraživači iz kompanije Kaspersky otkrili su novog trojanca nazvanog Efimer, koji zamenjuje adrese kripto novčanika direktno u clipboardu. Jedan k... Dalje

Malver JSCEAL se širi preko oglasa na Facebooku

Malver JSCEAL se širi preko oglasa na Facebooku

Istraživači sajber bezbednosti iz kompanije Check Point upozorili su na sofisticiranu kampanju distribucije lažnih aplikacija za trgovinu kriptoval... Dalje

Matanbuchus 3.0: Povratak opasnog malvera

Matanbuchus 3.0: Povratak opasnog malvera

Istraživači sajber bezbednosti iz Morphisec-a upozorili su na novu verziju poznatog malvera Matanbuchus. U pitanju je sofisticirani “loader&rd... Dalje

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje