Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Opisi virusa, 13.03.2015, 01:00 AM

Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Fabijan Vozar iz Emsisofta otkrio je novi malver koji je nazvan TeslaCrypt a koji se predstavlja kao Cryptolocker, trenutno najprepoznatljiviji predstavnik kripto-malvera. Osim uobičajenog asortimana fajlova koje ranosmwarei šifruju, ovaj novi malver šifruje i fajlove koji su povezani sa video igrama. Ransomwarei obično šifruju slike, dokumente i video snimke, ali TeslaCrypt pored toga, šifruje i fajlove koji su povezani sa više od 40 video igara.

Ipak, malver ne zanimaju sve video igre. On šifruje fajlove koji su povezani sa igrama kao što su Call of Duty, StarCraft 2, Diablo, Fallout 3, Minecraft, Half-Life 2, Dragon Age: Originis, The Elder Scrolls, posebno Skyrim, Star Wars: The Knights Of The Old Republic, WarCraft 3, F.E.A.R, Saint Rows 2, Metro 2033, Assassin's Creed, S.T.A.L.K.E.R, Rsident Evil 4, Bioshock 2, i online igre World of Warcraft, Day Z, League of Legends, World of Tanks, i Metin2.

On šifruje određene fajlove za različite EA Sports, Valve i Bethesda igre, fajlove povezane za Steam platformom, kao i RPG Maker, Unity3D i Unreal Engine. Novi ranosmware takođe šifruje fajlove povezane sa iTunes.

Ukupan broj ekstenzija koje cilja ovaj malver je 185, što je manje od ekstenzija koje cilja, na primer TorrentLocker, ali ovaj malver ipak šifruje najveći broj različitih vrsta fajlova koji su povezani sa video igrama.

Malver koristi AES enkripciju, a šifrovani fajlovi dobijaju .ecc ekstenziju.

Malver u početku može izgledati kao Cryptolocker, jer ima sličan vizuelni identitet, ali kada se njihovi kodovi uporede, manje od 10% koda je isto.

Malver se trenutno širi sa kompromitovanog WordPress sajta koji preusmerava korisnike na stranicu na kojoj se nalazi exploit alat Angler.

Angler proverava prisustvo nekoliko virtuelnih mašina, Fiddlera i nekih antivirusnih proizvoda koji koriste Microsoft.XMLDOM i res://protocol. Ako sistem nema ništa od toga, Angler će pokrenuti exploite za CVE-2015-0311 Flash i CVE-2013-2551 IE propuste.

Plaćanje otkupa se vrši preko web sajta koji je na TOR domenu, a svaki primerak ransomwarea ima svoju BTC adresu. Kriminalci primaju i uplate preko PayPal My Cash kartica, ali tada treba platiti duplo više (1000 dolara) nego kada se otkup plaća bitcoinima. To je razumljivo jer je u prvom slučaju rizik veći i kriminalci mogu ostati bez ilegalne zarade koju PayPal može konfiskovati.

Kada malver završi sa šifrovanjem fajlova, on će obrisati sve Shadow Volume Copies i tačke vraćanja sistema u prethodno stanje, kako bi sprečio žrtvu da povrati podatke iz System Restore Points.

I na kraju, malver će pozadinu radne površine zameniti obaveštenjem o otkupu i na radnoj površini kreirati txt fajl pod nazivom HELP_TO_DECRYPT_YOUR_FILES. Na zaključanom ekranu korisnik može proveriti da li je uplata prihvaćena, može uneti ključ za dešifrovanje, a na njemu se nalazi i link za sajt na kome žrtva besplatno može isprobati dešifrovanje fajla po izboru. Na istom sajtu nalazi se uputstvo o načinu na koji treba izvršiti uplatu, a na njemu žrtva ima mogućnost da porukama komunicira sa autorima malvera.

Šifrovanje fajlova koji su povezani sa video igrama pokazuje da sajber kriminalci ciljaju nove niše.

“Mnogo mladih možda nemaju važna dokumenta ili izvorni kod na svom računaru (čak se i fotografije obično čuvaju na Tumblru ili Facebooku), ali sigurno većina njih ima Steam nalog sa nekoliko igara i iTunes nalog pun muzike”, kaže Vadim Kotov, istraživač Bromium Labsa koji je takođe analizirao ovu novu pretnju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje