«Лаборатория Касперского» сообщила об обнаружении новой версии троянца-шифровальщика, использующей HTML-страницу, скопированную у шифровальщика CryptoWall. Исходя из типов шифруемых файлов, основной целью зловреда являются пользователи, увлекающиеся компьютерными играми.

По мнению Федора Синицына, антивирусного аналитика «Лаборатории Касперского», маскировка под другого троянца имеет целью запугивание жертвы. «TeslaCrypt, охотник за геймерами, склонен к обману и запугиванию пользователей. Например, в предыдущих версиях жертве сообщалось, что файлы зашифрованы при помощи знаменитого алгоритма RSA-2048, который на сегодняшний день не может быть взломан. Таким образом, вероятно, злоумышленники хотели заставить пользователя поверить, что у него нет другой альтернативы, кроме как заплатить выкуп. На самом же деле этот алгоритм злоумышленники не применяли, — рассказывает Синицын. — Обновленная версия TeslaCrypt 2.0 убеждает жертву, что перед ним несокрушимый CryptoWall. Однако все ссылки ведут на сервер TeslaCrypt — отдавать конкурентам деньги жертв никто из авторов этого зловреда явно не планирует».

Интерфейс скопирован у TeslaCrypt

Первые образцы TeslaCrypt встретились аналитикам компании в феврале 2015 года, уже тогда он пытался подделываться под коллег по цеху: так, графический интерфейс версии 0.2.5 был позаимствован у CryptoLocker.

При заражении компьютера TeslaCrypt шифрует доступные ему файлы с определенными расширениями и объемом менее 268 Мб, включая файлы на жестких дисках, съемных носителях, а также на сетевых ресурсах. Оплата за расшифровку дорогих геймеру профилей, реплеев, сохранений принимается в биткойнах на уникальный для каждой жертвы Bitcoin-кошелек.

Троянец связывается с серверами управления и контроля, адреса которых перечислены в статическом списке. Серверы расположены в сети Tor, но связь с ними идет посредством tor2web-шлюзов. Распространяется TeslaCrypt через уязвимости браузеров и браузерных плагинов посредством эксплойт-китов Angler, Sweet Orange, Nuclear.

«Лаборатория Касперского» составила несколько рекомендаций, как избежать потерь от заражения компьютера TeslaCrypt:

  • Своевременно проводить резервное копирование всех важных файлов. Копии стоит создавать регулярно и хранить на носителях, недоступных для записи в любое время, кроме непосредственно процесса резервирования. Например, для домашних пользователей — на внешнем жестком диске, физически отключаемом сразу после завершения копирования.
  • Вовремя обновлять ПО (в особенности плагины браузера и сам браузер), так как производители постоянно закрывают выявленные уязвимости, эксплуатируемые злоумышленниками.
  • Если зловред все-таки попал в систему, остановить его поможет актуальный антивирусный продукт с обновленными базами и активированными модулями защиты. Особенно это касается модуля проактивной защиты, который в случае 0-day-угроз становится последней линией обороны.

Продукты «Лаборатории Касперского» детектируют представителей семейства TeslaCrypt как Trojan-Ransom.Win32.Bitman. Новейшая версия троянца детектируется как Trojan-Ransom.Win32.Bitman.tk.

Категории: Вредоносные программы, Главное