Исследователи из Heimdal Security зафиксировали масштабную спам-кампанию, нацеленную на распространение новой версии шифровальщика TeslaCrypt. Как отмечает Softpedia, первые признаки активизации TeslaCrypt (в классификации «Лаборатории Касперского» Trojan-Ransom.Win32.Bitman) всплыли на форумах Bleeping Computer, участники которых начали жаловаться на заражения.

Проведенный экспертами анализ кода выявил незначительные изменения против известных версий, которых, впрочем, достаточно, чтобы в очередной раз озадачить разработчиков специализированных утилит-декрипторов.

Англоязычный аттач-спам, уже несколько дней наблюдаемый Heimdal, использует избитую тему, имитируя уведомление о неоплаченном счете, посему исследователи предположили, что основными адресатами злоумышленников являются корпоративные пользователи.

Вредоносный zip-архив, прикрепленный к письму, содержит файл в формате .js; анализ показал, что при отработке этот JavaScript инициирует соединение с C&C-сервером и загрузку основного компонента криптоблокера. После запуска TeslaCrypt, как и ранее, шифрует файлы жертвы, переименовывая их и снабжая дополнительным расширением — .vvv или .zzz. Зловред также уничтожает теневые копии и в каждой папке с зашифрованными файлами создает файл с инструкцией по расшифровке. Для уплаты выкупа (в биткойнах) пользователя направляют на страницу в сети Tor.

В настоящее время обновленный TeslaCrypt детектируют две трети антивирусов из коллекции VirusTotal. Наибольшее количество заражений в рамках текущей спам-кампании Heimdal обнаружила в странах Скандинавии.

Стоит отметить, что до сих пор TeslaCrypt распространялся преимущественно через эксплойт-паки, причем в последнее время — посредством Neutrino. TeslaCrypt в целом пока менее рентабельный проект, чем другие, более агрессивные криптоблокеры. Так, по данным FireEye, с февраля по апрель 2015 года операторы TeslaCrypt получили чуть более $76,5 тыс. от 163 жертв заражения, что не сравнить с миллионами, которые ежегодно приносит CryptoLocker, не говоря уже о Cryptowall.

Update. Появление спама, заряженного TeslaCrypt, подтверждают наблюдения других экспертов, притом вредоносная кампания уже охватила многие регионы. Так, в пиковые дни на TeslaCrypt приходится 10% срабатываний антивирусов ESET по всему миру; выше всего этот показатель на территории Японии (75% детектов), Италии (30%), Испании (23%), США (15%), Канады и Аргентины (15 и 14% соответственно). Symantec с начала декабря фиксирует от 200 до 1800 попыток заражения TeslaCrypt 2.2 в сутки (защитные решения компании детектируют его как Trojan.Cryptolocker.N).

Категории: Вредоносные программы, Кибероборона, Спам