01/04/2015

Nowe oprogramowanie żądające okupu TeslaCrypt bierze na celownik pliki z gier

Zagrożenia

Wykryto nowy rodzaj oprogramowania typu ransomware, które atakuje graczy 40 gier online, szczególnie młodszych użytkowników komputerów.

Gamer

Ransomware to rodzaj szkodliwego oprogramowania, które szyfruje pliki użytkownika na zainfekowanym sprzęcie. Ich odszyfrowanie możliwe jest jedynie poprzez użycia klucza prywatnego, wysyłanego przez osoby kontrolujące malware za odpowiednią opłatą. Po upływie określonego czasu atakujący niszczą klucz deszyfrujący.

Wspomniane szkodliwe oprogramowanie zostało po raz pierwszy opisane przez Bleeping Computer, forum oferujące wsparcie techniczne i edukację użytkowników, które dosyć szybko zostało źródłem informacji na temat programów szyfrujących oraz budowy oprogramowania żądającego okupu. Bleeping Computer nazwał ten szkodliwy program TeslaCrypt, a firma Bromium zajmująca się bezpieczeństwem stworzyła oddzielny i całkowicie niezależny raport, w którym podejrzewa, że szkodnik to nowa odmiana CryptoLockera. Według Bleeping Computer pierwszą osobą, która natknęła się na TeslaCrypt, jest Fabian Wosar z firmy Emsisoft.

Bleeping Computer twierdzi, że TeslaCrypt atakuje pliki należące do gier i platform: RPG Maker, League of Legends, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks itp. Odróżnia to TeslaCrypt od poprzednich schematów ataku, które zwykle brały na cel dokumenty, zdjęcia, filmy i inne standardowe pliki przechowywane na komputerach użytkowników. Omawiane szkodliwe oprogramowanie stosuje szyfrowanie AES, przez co gry nie mogą uzyskać połączenia ze swoimi plikami. Ciekawe jest to, że do użytkownika wraca 500 dolarów, gdy wybierze on płatność Bitcoinami, lub 1000 dolarów, gdy zapłaci kartą PayPal My Cash.

Podczas gdy Bleeping Computer skończył swoje dochodzenie w tym miejscu, Bromium opisał dodatkowo, w jaki sposób rozprzestrzenia się TeslaCrypt. Nie jest zaskakujące, że przestępcy pakują zagrożenie do narzędzia hakerskiego o nazwie Angler Exploit Kit. Zestawy exploitów to paczki z oprogramowaniem przygotowane w celu przedostania się do systemu komputera przy użyciu powszechnych luk bezpieczeństwa oraz, podobnie jak w branży software-as-a-service, atakujący mogą wykupować licencję na posiadanie do nich dostępu.

Zestawy exploitów umożliwiają łatwe wprowadzanie malware na komputery ofiar. Przez wiele lat najbardziej znanym zestawem exploitów był BlackHole. Jednak wypadł z grupy ulubionych, bo jego autor przestał go rozwiać, a ostatecznie został aresztowany w Rosji. Odtąd przez około półtora roku Angler wkraczał coraz śmielej na rynek, konsekwentnie integrując najnowsze luki zero day z odpowiednimi exploitami.

Po zainfekowaniu szkodliwe oprogramowanie wyświetla na komputerze powiadomienie o zaszyfrowaniu plików użytkownika. Wiadomość zawiera instrukcje, w jaki sposób i gdzie użytkownik musi wykupić prywatny klucz konieczny do ich odszyfrowania. Część procesu składa się z pobrania Tor Browser Bundle. Co ciekawe, jest ukryta strona z usługą, gdzie zainfekowany użytkownik może otrzymać wsparcie techniczne od autora szkodliwego oprogramowania jak zapłacić i odszyfrować pliki. Ostrzeżenie zawiera także czas, do którego trzeba to wykonać – następnie klucz prywatny zostanie zniszczony i plików nie będzie można przywrócić.

Najlepszą ochroną przed takimi i podobnymi programami jest regularne wykonywanie kopii zapasowych

Ostrzeżenie jest bardzie podobne do tego, jakie wyświetla niesławny CryptoLocker, dlatego Bromium rozważa powiązania między tymi dwoma szkodliwymi programami. Jednak jak zauważa Bromium, podobieństwa techniczne między nimi są mało ważne, TeslaCrypt zwyczajnie wykorzystuje markę CryptoLocker.

Jak zwykle Kaspersky Daily nie może poradzić nikomu, czy powinien zapłacić za klucz prywatny. Takie działanie z pewnością zachęciłoby do przeprowadzania kolejnych oszustw tego typu. Najlepszą ochroną przed tego rodzaju i podobnym szkodliwym oprogramowaniem jest regularne wykonywanie kopii zapasowych. Kolejną opcją jest korzystanie z silnego produktu antywirusowego. Na przykład Kaspersky Internet Security posiada specjalną funkcję Kontrola systemu utworzoną z myślą o ochronie przed oprogramowaniem szyfrującym pliki.

Ponadto należy także instalować wszystkie aktualizacje systemu operacyjnego, oprogramowania, aplikacji i przeglądarki. Znaczna większość zestawów expliotów wykorzystuje znane liku, do których opublikowano już łaty bezpieczeństwa.

Napiszemy jeszcze raz: oprogramowanie szyfrujące pliki, które żąda okupu, niestety nie zniknie, więc upewnij się, że poświęcasz wystarczającą ilość czasu na utrzymywanie swojego sprzętu w dobrej formie. Co więcej, jak można zauważyć przez zastosowanie wsparcia technicznego i brandingu, ludzie stojący za tym atakiem mają doświadczenie w biznesie i marketingu. Innymi słowy, coraz lepiej radzą sobie w infekowaniu użytkowników i przekonywaniu ich do płacenia okupu w zamian za odzyskanie plików. A dzieje się tak w świecie, w którym podłączamy coraz więcej rzeczy do internetu, a to tylko może zwiększyć problem.