16/07/2015

Oprogramowanie żądające okupu TeslaCrypt 2.0: jeszcze silniejsze i niebezpieczniejsze

Zagrożenia

Cyberprzestępcy uczą się od każdego z nas. Weźmy na przykład TeslaCrypt. To relatywnie nowa rodzina szkodliwego oprogramowania; jej próbki wykryto już w lutym 2015 roku. Cechą charakterystyczną pierwszych wersji TeslaCrypt było to, że to szkodliwy program atakował nie tylko zwykłe pliki, takie jak dokumenty, zdjęcia czy filmy, ale także pliki związane z grami. Do tej pory było to raczej mało skuteczne szkodliwe oprogramowanie ze względu na kilka wad technicznych.

tc_fb

Pomimo faktu, że autorzy szkodliwego oprogramowania straszyli swoje ofiary algorytmem RSA-2048, w rzeczywistości szyfrowanie nie było takie silne. Co więcej, podczas procesu szyfrowania szkodliwe oprogramowanie przechowywało klucze szyfrujące w pliku na dysku twardym komputera ofiary, więc możliwe było zapisanie klucza poprzez przerwanie działania programu albo zdobycie go zanim poszczególny obszar dysku zostanie nadpisany.

Jak już wspomnieliśmy wcześniej, przestępcy także się uczą. W najnowszej wersji TeslaCrypt 2.0, która została wykryta przez badaczy z Kaspersky Lab, twórcy szkodliwego oprogramowania zastosowali nowe funkcje, które zapobiegają deszyfrowaniu skradzionych plików i zdemaskowaniu serwerów kontrolujących tego szkodliwego oprogramowania.

black_hole

Po pierwsze, atakujący zaadoptowali od twórców słynnego i bardzo kłopotliwego oprogramowania CTB-Locker wyszukany algorytm szyfrujący wykorzystujący krzywe eliptyczne. Po drugie, zmienili sposób przechowywania klucza: teraz zamiast pliku na dysku, wykorzystują rejestr systemowy. Po trzecie, twórcy TeslaCrypt ukradli innemu szkodliwemu oprogramowaniu (CryptoWall) stronę internetową, która wyświetla się ofiarom, gdy ich pliki zostaną zaszyfrowane. Oczywiście wszystkie dane uwierzytelniające płatność są zmienione, ale reszta tekstu, który jest bardzo skuteczny ze sprzedażowego punktu widzenia, jest skopiowana. Nawiasem mówiąc, cena okupu jest całkiem wysoka: wynosi około 500 dolarów (po obecnym kursie wymiany bitcoina).

tesla_crypt_en_3

Wiadomo, że szkodliwe oprogramowanie żądające okupu z rodziny TeslaCrypt jest dystrybuowane za pomocą zestawów exploitów, takich jak Angler, Sweet Orange i Nuclear. Taka metoda dystrybucji działa w następujący sposób: gdy ofiara odwiedzi zainfekowaną stronę, szkodliwy kod exploita wykorzystuje luki przeglądarki (zazwyczaj we wtyczkach) do zainstalowania w systemie docelowego szkodliwego oprogramowania.

Wśród krajów, w których najczęściej odnotowywano szkodliwe oprogramowanie, znajdują się Stany Zjednoczone, Niemcy, Wielka Brytania, Francja, Włochy i Hiszpania. Produkty firmy Kaspersky Lab wykrywają szkodliwe oprogramowanie z rodziny TeslaCrypt (włącznie z jego najnowszymi wersjami) jako Trojan-Ransom.Win32.Bitman, więc nasi użytkownicy są chronieni przed tym zagrożeniem.

tesla_crypt_en_12

Poniżej znajdziesz nasze zalecenia, jak przeciwdziałać tej i innym rodzinom oprogramowania żądającego okupu:

  • Regularnie twórz kopie zapasowe wszystkich swoich ważnych plików. Kopie te powinny być przechowywane na nośniku, który będzie fizycznie odłączany tuż po zakończeniu wykonywania kopii zapasowej. Jest to o tyle ważne, że TeslaCrypt (podobnie jak inne szkodliwe oprogramowanie) szyfruje także podłączone dyski, foldery sieciowe oraz lokalne dyski twarde.
  • Bardzo ważne jest regularne aktualizowanie oprogramowania, zwłaszcza przeglądarki i jej wtyczek.
  • Jeśli szkodliwy program przedostanie się na Twój system, najlepiej poradzi z nim sobie najnowsza wersja oprogramowania bezpieczeństwa z aktualnymi bazami i aktywnymi modułami bezpieczeństwa.