Objavljena nova verzija ransomwarea TeslaCrypt, broj infekcija u porastu
Opisi virusa, 15.12.2015, 08:00 AM
Istraživači kompanije Heimdal Security upozorili su na značajan porast infekcija ransomwareom TeslaCrypt koji je primećen prošle nedelje.
Grupa koja stoji iza TeslaCrypta u početku je bila fokusirana na individualne korisnike, ali u kampanji koju su analizirali istraživači Heimdal Security ciljevi su uglavnom kompanije u SAD, Nemačkoj, Velikoj Britaniji, Francuskoj, Italiji i Španiji, ali i drugim zemljama severne Evrope.
Nova verzija kripto-malvera TeslaCrypt koji je otkriven početkom ove godine širi se preko veoma jake spam kampanje.
TeslaCrypt je trojanac ranosmware koji je inicijalno bio dizajniran za infekcije računara na kojima su instalirane određene igre. Međutim, prethodnih meseci malver je proširio svoje domete.
Ako zarazite računar TeslaCrypt ranosmwareom, on će šifrovati sve fajlove koje imate na računaru i zaključati sistem. Zatim će tražiti da platite otkup da bi dešifrovao fajlove, a to će vas koštati između 150 i 1000 dolara, koje napadačima morate isplatiti u bitcoinima, da bi vam oni predali ključ za dešifrovanje.
Šteta koju prouzrokuje ovaj ransomware je veoma realna. Prateći uplate žrtava istraživači su utvrdili da su kriminalci u periodu od februara do aprila ove godine iznudili 76522 dolara od 163 žrtve. Ova suma može delovati beznačajno u poređenju sa milionskom zaradom koju na godišnjem nivou ostvare drugi vidovi sajber kriminala, ili u poređenju sa kripto-ransomwareom CryptoLocker uz pomoć koga su kriminalci zaradili 3 miliona dolara za devet meseci, 2013. i 2014. godine. Međutim, čak i sa osrednjim mogućnostima ranosmwarei mogu da zarade mnogo novca za kriminalce i da pričine ogromnu štetu žrtvama.
TeslaCrypt često koristi exploit alat Angler za širenje. Koristeći sofisticirane tehnike Anglera da bi izbegao detekciju antivirusa, TeslaCrypt može da dostigne visoku stopu infekcije ciljanih računara.
TeslaCrypt ima koristi distribucione kanale Anglera, kao što su inficirani web sajtovi i maliciozne reklame. Ovoga puta sajber kriminalci su odlučili da promene taktiku za širenje malvera.
TeslaCrypt se širi preko spam emailova koji sadrže maliciozne zip fajlove. Unutar ovih fajlova je .js fajl koji kada se otpakuje preuzima TeslaCrypt sa nekoliko kompromitovanih web stranice.
Spam emailovi koji se šalju korisnicima izgledaju kao da dolaze od kompanije koja zahteva da korisnik plati neplaćeni račun.
TeslaCrypt šifruje sve fajlove na računaru, ali inficira i sve fajlove na računarima povezanim u mrežu, koristeći AES-256-CBC algoritam “session_priv” kao ključ.
Brojne su ekstenzije fajlova koje šifruje TeslaCrypt.
Svim šifrovanim fajlovima se menjaju nazivi i dodaje ekstenzija .vvv ili .zzz.
Posle toga, fajlovi Howto_Restore:FILES.BMP, Howto_Restore:FILES.TXT i how_recover + mln.html se kopiraju u sve foldere. Ovi fajlovi sadrže instrukcije kako platiti otkup bitcoinima, tako da žrtve mogu ponovo da pristupe svojim sada šifrovanim podacima.
Detekcija antivirusa u ovoj kampanji je veoma niska. Svega 3 od 55 antivirusa VirusTotala trenutno detektuje ovu verziju TeslaCrypta.
Stručnjaci su isključivi kada je u pitanju plaćanje otkupa, ali je odluka na žrtvama. Nema garancije da će žrtva dobiti ključ za dešifrovanje, a čak i da ga dobije, postoji mogućnost da će fajlovi biti oštećeni zbog greške u sistemu enkripcije.
Postoje i alati za dešifrovanje koje možete naći na internetu, ali sa njima rizikujete da oštetite svoje podatke zauvek. Niko vam ne može garantovati da možete dešifrovati svoje podatke tako da oni budu upotrebljivi.
Da biste sačuvali svoj sistem od ransomwarea kakvi su TeslaCrypt, CryptoWall ili drugi, nemojte važne podatke čuvati na lokalnom disku, već u oblaku ili na eksternom disku koji nije direktno povezan sa lokalnim sistemom. Ne preuzimajte i ne otvarajte .zip fajlove u spam emailovima ili emailovima koji dolaze od nepoznatih. Spam emailove obrištite bez otvaranja jer je spam jedan od omiljenih načina na koji se sajber kriminalci infiltriraju u sistem. Ne klikćite na linkove u spam emailovima jer vas oni mogu odvesti na inficirane domene koji hostuju TeslaCrypt ili drugi kripto-ransomware. Redovno ažurirajte svoj sistem. Koristite pouzdanu antivirusnu zaštitu koji vrši skeniranje u realnom vremenu.
Izdvojeno
Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima
Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje
Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u
Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje
Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera
Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje
Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka
SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje
Malver StealC ima neobičan metod za krađu lozinke za Google nalog
Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje
Pratite nas
Nagrade