Objavljena nova verzija ransomwarea TeslaCrypt, broj infekcija u porastu

Opisi virusa, 15.12.2015, 08:00 AM

Objavljena nova verzija ransomwarea TeslaCrypt, broj infekcija u porastu

Istraživači kompanije Heimdal Security upozorili su na značajan porast infekcija ransomwareom TeslaCrypt koji je primećen prošle nedelje.

Grupa koja stoji iza TeslaCrypta u početku je bila fokusirana na individualne korisnike, ali u kampanji koju su analizirali istraživači Heimdal Security ciljevi su uglavnom kompanije u SAD, Nemačkoj, Velikoj Britaniji, Francuskoj, Italiji i Španiji, ali i drugim zemljama severne Evrope.

Nova verzija kripto-malvera TeslaCrypt koji je otkriven početkom ove godine širi se preko veoma jake spam kampanje.

TeslaCrypt je trojanac ranosmware koji je inicijalno bio dizajniran za infekcije računara na kojima su instalirane određene igre. Međutim, prethodnih meseci malver je proširio svoje domete.

Ako zarazite računar TeslaCrypt ranosmwareom, on će šifrovati sve fajlove koje imate na računaru i zaključati sistem. Zatim će tražiti da platite otkup da bi dešifrovao fajlove, a to će vas koštati između 150 i 1000 dolara, koje napadačima morate isplatiti u bitcoinima, da bi vam oni predali ključ za dešifrovanje.

Šteta koju prouzrokuje ovaj ransomware je veoma realna. Prateći uplate žrtava istraživači su utvrdili da su kriminalci u periodu od februara do aprila ove godine iznudili 76522 dolara od 163 žrtve. Ova suma može delovati beznačajno u poređenju sa milionskom zaradom koju na godišnjem nivou ostvare drugi vidovi sajber kriminala, ili u poređenju sa kripto-ransomwareom CryptoLocker uz pomoć koga su kriminalci zaradili 3 miliona dolara za devet meseci, 2013. i 2014. godine. Međutim, čak i sa osrednjim mogućnostima ranosmwarei mogu da zarade mnogo novca za kriminalce i da pričine ogromnu štetu žrtvama.

TeslaCrypt često koristi exploit alat Angler za širenje. Koristeći sofisticirane tehnike Anglera da bi izbegao detekciju antivirusa, TeslaCrypt može da dostigne visoku stopu infekcije ciljanih računara.

TeslaCrypt ima koristi distribucione kanale Anglera, kao što su inficirani web sajtovi i maliciozne reklame. Ovoga puta sajber kriminalci su odlučili da promene taktiku za širenje malvera.

TeslaCrypt se širi preko spam emailova koji sadrže maliciozne zip fajlove. Unutar ovih fajlova je .js fajl koji kada se otpakuje preuzima TeslaCrypt sa nekoliko kompromitovanih web stranice.

Spam emailovi koji se šalju korisnicima izgledaju kao da dolaze od kompanije koja zahteva da korisnik plati neplaćeni račun.

TeslaCrypt šifruje sve fajlove na računaru, ali inficira i sve fajlove na računarima povezanim u mrežu, koristeći AES-256-CBC algoritam “session_priv” kao ključ.

Brojne su ekstenzije fajlova koje šifruje TeslaCrypt.

Svim šifrovanim fajlovima se menjaju nazivi i dodaje ekstenzija .vvv ili .zzz.

Posle toga, fajlovi Howto_Restore:FILES.BMP, Howto_Restore:FILES.TXT i how_recover + mln.html se kopiraju u sve foldere. Ovi fajlovi sadrže instrukcije kako platiti otkup bitcoinima, tako da žrtve mogu ponovo da pristupe svojim sada šifrovanim podacima.

Detekcija antivirusa u ovoj kampanji je veoma niska. Svega 3 od 55 antivirusa VirusTotala trenutno detektuje ovu verziju TeslaCrypta.

Stručnjaci su isključivi kada je u pitanju plaćanje otkupa, ali je odluka na žrtvama. Nema garancije da će žrtva dobiti ključ za dešifrovanje, a čak i da ga dobije, postoji mogućnost da će fajlovi biti oštećeni zbog greške u sistemu enkripcije.

Postoje i alati za dešifrovanje koje možete naći na internetu, ali sa njima rizikujete da oštetite svoje podatke zauvek. Niko vam ne može garantovati da možete dešifrovati svoje podatke tako da oni budu upotrebljivi.

Da biste sačuvali svoj sistem od ransomwarea kakvi su TeslaCrypt, CryptoWall ili drugi, nemojte važne podatke čuvati na lokalnom disku, već u oblaku ili na eksternom disku koji nije direktno povezan sa lokalnim sistemom. Ne preuzimajte i ne otvarajte .zip fajlove u spam emailovima ili emailovima koji dolaze od nepoznatih. Spam emailove obrištite bez otvaranja jer je spam jedan od omiljenih načina na koji se sajber kriminalci infiltriraju u sistem. Ne klikćite na linkove u spam emailovima jer vas oni mogu odvesti na inficirane domene koji hostuju TeslaCrypt ili drugi kripto-ransomware. Redovno ažurirajte svoj sistem. Koristite pouzdanu antivirusnu zaštitu koji vrši skeniranje u realnom vremenu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje