Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Opisi virusa, 13.03.2015, 01:00 AM

Novi ransomware TeslaCrypt šifruje fajlove povezane sa video igrama

Fabijan Vozar iz Emsisofta otkrio je novi malver koji je nazvan TeslaCrypt a koji se predstavlja kao Cryptolocker, trenutno najprepoznatljiviji predstavnik kripto-malvera. Osim uobičajenog asortimana fajlova koje ranosmwarei šifruju, ovaj novi malver šifruje i fajlove koji su povezani sa video igrama. Ransomwarei obično šifruju slike, dokumente i video snimke, ali TeslaCrypt pored toga, šifruje i fajlove koji su povezani sa više od 40 video igara.

Ipak, malver ne zanimaju sve video igre. On šifruje fajlove koji su povezani sa igrama kao što su Call of Duty, StarCraft 2, Diablo, Fallout 3, Minecraft, Half-Life 2, Dragon Age: Originis, The Elder Scrolls, posebno Skyrim, Star Wars: The Knights Of The Old Republic, WarCraft 3, F.E.A.R, Saint Rows 2, Metro 2033, Assassin's Creed, S.T.A.L.K.E.R, Rsident Evil 4, Bioshock 2, i online igre World of Warcraft, Day Z, League of Legends, World of Tanks, i Metin2.

On šifruje određene fajlove za različite EA Sports, Valve i Bethesda igre, fajlove povezane za Steam platformom, kao i RPG Maker, Unity3D i Unreal Engine. Novi ranosmware takođe šifruje fajlove povezane sa iTunes.

Ukupan broj ekstenzija koje cilja ovaj malver je 185, što je manje od ekstenzija koje cilja, na primer TorrentLocker, ali ovaj malver ipak šifruje najveći broj različitih vrsta fajlova koji su povezani sa video igrama.

Malver koristi AES enkripciju, a šifrovani fajlovi dobijaju .ecc ekstenziju.

Malver u početku može izgledati kao Cryptolocker, jer ima sličan vizuelni identitet, ali kada se njihovi kodovi uporede, manje od 10% koda je isto.

Malver se trenutno širi sa kompromitovanog WordPress sajta koji preusmerava korisnike na stranicu na kojoj se nalazi exploit alat Angler.

Angler proverava prisustvo nekoliko virtuelnih mašina, Fiddlera i nekih antivirusnih proizvoda koji koriste Microsoft.XMLDOM i res://protocol. Ako sistem nema ništa od toga, Angler će pokrenuti exploite za CVE-2015-0311 Flash i CVE-2013-2551 IE propuste.

Plaćanje otkupa se vrši preko web sajta koji je na TOR domenu, a svaki primerak ransomwarea ima svoju BTC adresu. Kriminalci primaju i uplate preko PayPal My Cash kartica, ali tada treba platiti duplo više (1000 dolara) nego kada se otkup plaća bitcoinima. To je razumljivo jer je u prvom slučaju rizik veći i kriminalci mogu ostati bez ilegalne zarade koju PayPal može konfiskovati.

Kada malver završi sa šifrovanjem fajlova, on će obrisati sve Shadow Volume Copies i tačke vraćanja sistema u prethodno stanje, kako bi sprečio žrtvu da povrati podatke iz System Restore Points.

I na kraju, malver će pozadinu radne površine zameniti obaveštenjem o otkupu i na radnoj površini kreirati txt fajl pod nazivom HELP_TO_DECRYPT_YOUR_FILES. Na zaključanom ekranu korisnik može proveriti da li je uplata prihvaćena, može uneti ključ za dešifrovanje, a na njemu se nalazi i link za sajt na kome žrtva besplatno može isprobati dešifrovanje fajla po izboru. Na istom sajtu nalazi se uputstvo o načinu na koji treba izvršiti uplatu, a na njemu žrtva ima mogućnost da porukama komunicira sa autorima malvera.

Šifrovanje fajlova koji su povezani sa video igrama pokazuje da sajber kriminalci ciljaju nove niše.

“Mnogo mladih možda nemaju važna dokumenta ili izvorni kod na svom računaru (čak se i fotografije obično čuvaju na Tumblru ili Facebooku), ali sigurno većina njih ima Steam nalog sa nekoliko igara i iTunes nalog pun muzike”, kaže Vadim Kotov, istraživač Bromium Labsa koji je takođe analizirao ovu novu pretnju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Pojavila se najnovija verzija ransomwarea GarrantyDecrypt, ransomwarea koga je otkrio istraživač Majkl Gilespi u oktobru 2018. godine. Iako nikada n... Dalje

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Do avgusta prošle godine malver Rietspoof cirkulisao je internetom neprimećen. Onda su ga otkrili istraživači Avasta koji sada upozoravaju na eksp... Dalje

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Majneri kripto-valuta postali su novi standard u svetu malvera, a nove verzije postaju sve složenije, jer su u mogućnosti da efikasnije sakriju svo... Dalje

Windows .exe malver cilja Mac računare

Windows .exe malver cilja Mac računare

Maliciozni Windows EXE fajl može zaraziti i vaš Mac računar. Da, dobro ste pročitali - .exe malver na macOS-u. Istraživači kompanije Trend Micro... Dalje