Юным любителям видеоигр вскоре придется на собственном опыте убедиться, насколько беспомощной чувствует себя жертва вымогательства, лишенная доступа к критически важной информации. В дикой природе найден блокер, который шифрует файлы, ассоциированные с двадцатью разными онлайн-играми.

Исследователи из Bromium обнаружили сайт, раздающий нового зловреда, которого они с ходу определили как вариант CryptoLocker. По свидетельству экспертов, загрузка в данном случае происходит в результате отработки Flash-эксплойта из набора Angler, размещенного на сайте, доступном через редирект. «Этот сайт использует WordPress и, вероятно, был скомпрометирован через одну из многочисленных WP-уязвимостей, — пишет Вадим Котов в информационном бюллетене Bromium. — К тому же URL хоста с вредоносным Flash-файлом постоянно сменяется».

По словам Котова, злоумышленники на сей раз отказались от типовых iframe-редиректоров и используют Flash-файл, прикрытый невидимым тэгом, — скорее всего, это попытка защитить вредоносный объект от обнаружения. Визитера вначале проверяют на наличие виртуальных машин и антивирусов, а затем уже отдают Flash-эксплойт к CVE-2015-0311 или IE к CVE-2013-2551.

Как показал анализ, загружаемый через эксплойт вымогатель по поведению схож с классическим CryptoLocker: он с помощью баннера сообщает жертве, что ее файлы зашифрованы, и требует выкуп в биткойнах. Если указанный сайт для оплаты декриптора не работает, пользователю предлагают пройти в Tor.

Шифруя файлы, новый блокер оперирует списком более чем из 50 разных расширений. Кроме файлов, ассоциированных с видеоиграми, он ищет также изображения, документы, файлы iTunes и т.п. Тем не менее основным объектом его внимания являются популярные индивидуальные игры, такие как Call of Duty, Minecraft, Half Life 2, Elder Scrolls, Skyrim, Assassin’s Creed, онлайн-игры вроде World of Warcraft, Day Z и League of Legends, а также ряд игр, выпускаемых EA Sports, Valve и Bethesda. Судя по всему, сообщество Steam тоже входит в круг потенциальных мишеней шифровальщика.

«Этот внушительный список игр, интересующих шифровальщика, свидетельствует об эволюции этих зловредов по мере появления новых объектов для атак, — комментирует Котов. — Многие молодые люди не хранят критически важные документы или исходные коды на своих компьютерах (даже фото обычно переносятся на Tumblr или Facebook), однако я уверен, что у большинства из них есть Steam-аккаунт с несколькими игрушками, а также учетная запись iTunes, где полно разной музыки. Такие атаки способны обескуражить и тех, кто не увлекается играми: никому не хочется терять свою информацию».

По словам эксперта, некоторые файлы, зашифрованные данным зловредом, восстановить невозможно; к этой категории относятся данные профилей пользователя, сохраненные игры, их схемы и модификации.

В информационном бюллетене Bromium также представлен подробный анализ C&C-коммуникаций блокера и используемых им криптографических механизмов. Эксперты рекомендуют геймерам создать резервные копии файлов на внешнем носителе, не подключенном к Интернету. «По мере расширения списка форматов шифруемых файлов растет и аудитория, потенциально подверженная атакам блокеров, — предостерегает Котов. — Злоумышленники также совершенствуют технологии внедрения кода BitCoin в свои проекты, что само по себе плохой знак».

Update. Раньше Bromium о существовании данного блокера узнали участники комьюнити Bleeping Computer, они же нарекли его TeslaCrypt, руководствуясь логотипом, который обнаружили на Tor-странице, созданной злоумышленниками для оплаты декриптора. Bromium уже обновила свою запись в блоге, сославшись на форум Bleeping Computer и отдав им должное как первооткрывателям.

Категории: Вредоносные программы, Главное