Teslacrypt: νέο Cryptolocker ransomware που χτυπάει παιχνίδια

Οι ερευνητές ασφαλείας εντόπισαν ένα νέο κακόβουλο λογισμικό που στοχεύει παίκτες διαδικτυακών παιχνιδιών. Το νέο ransomware λειτουργεί σαν Cryptolocker, και ονομάστηκε Teslacrypt. Επιχειρεί να μολύνει υπολογιστές με Windows, αξιοποιώντας μια ευπάθεια στο Adobe Flash (CVE-2015-0311) ή στον Internet Explorer (CVE-2013-2551).

Το κακόβουλο λογισμικό διανέμεται από μια παγιδευμένη ιστοσελίδα που περιέχει ένα iframe που χρησιμοποιεί JavaScript. Το javascript ανακατευθύνει τους επισκέπτες της ιστοσελίδας σε άλλες μέχρι που καταλήγουν στο Angler Exploit Kit.

Μόλις εγκατασταθεί, το Teslacrypt σαρώνει το σύστημα αρχείων του συστήματος, και κρυπτογραφεί τα αρχεία που ταιριάζουν με μια τύπων αρχείων που συμπεριλαμβάνονται στον κώδικα του. Αμέσως μετά, δημιουργεί ένα τυχαίο κλειδί AES για κάθε αρχείο χρησιμοποιώντας κώδικα OpenSSL. Τα κλειδιά αυτά τα χρησιμοποιεί για να κρυπτογραφήσει τα δεδομένα του υπολογιστή που μολύνθηκε. Στη συνέχεια κρυπτογραφεί τα κλειδιά AES χρησιμοποιώντας ένα δημόσιο κλειδί που αποτελείται από ένα ζεύγος κλειδιών 2048-bit RSA.Teslacrypt

Το ιδιωτικό κλειδί, που απαιτείται για την αποκρυπτογράφηση των κλειδιών ανά αρχείο και τελικά για την αποκατάσταση των κωδικοποιημένων δεδομένων, αποθηκεύεται στο διακομιστή διοίκησης και ελέγχου των απατεώνων.

  Νέο Ransomware κρυπτογραφεί τον σκληρό και ζητάει λύτρα

Τα θύματα πρέπει να καταβάλουν σαν λύτρα το ποσό των 500 δολαρίων σε Bitcoin, ή να αγοράσουν και να παραδώσουν μια κάρτα Paypal My Cash αξίας 1.000 δολάριων, χρησιμοποιώντας μια ιστοσελίδα που είναι κρυμμένη στο δίκτυο Tor.

Οι διακομιστές εντολών και ελέγχου είναι επίσης κρυμμένοι στο δίκτυο Tor, και το maleare επικοινωνεί με αυτούς μέσω HTTP. Το Teslacrypt αφήνει επίσης τα ακόλουθα αρχεία στα μολυσμένα μηχανήματα

%AppData%\<random>.exe
%AppData%\key.dat
%AppData%\log.html
%Desktop%\CryptoLocker.lnk
%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.bmp
%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.txt

…και σταματάει κάθε προσπάθεια εκτέλεσης των παρακάτω προγραμμάτων

taskmgr
procexp
regedit
msconfig
cmd.exe

Μια ανάλυση που πραγματοποιήθηκε από την εταιρεία ασφαλείας Bromium Labs δείχνει ότι το TeslaCrypt είναι πολύ διαφορετικό από το Cryptolocker, και ο εκτελέσιμος κώδικας μοιάζει μόνο στο 8%. Και αν και χρησιμοποιεί κρυπτογράφηση RSA, φαίνεται ότι τα κλειδιά δημιουργούνται στα συστήματα των απατεώνων.

Το νέο κακόβουλο λογισμικό, φαίνεται ότι δεν επικεντρώνεται μόνο σε έγγραφα ή εικόνες, αλλά κρυπτογραφεί και αρχεία που σχετίζονται με περισσότερα από 20 παιχνίδια και υπηρεσίες παιχνιδιών. Τα αρχεία που κρυπτογραφεί περιλαμβάνουν, στοιχεία του προφίλ του χρήστη σε αποθηκευμένα παιχνίδια, χάρτες και mods.

  Βγάλτε όλες σας τις επαφές από το Skype σε μορφή txt csv και html

Μπορεί να χτυπήσει παιχνίδια όπως το Call of Duty, World of Warcraft, Assassin’s Creed, League of Legends, και Minecraft. Επιπλέον, κλειδώνει λογαριασμούς του Steam  και εργαλεία ανάπτυξης, όπως το Unity3D και το Unreal Engine.

“Η κρυπτογράφηση όλα αυτών των παιχνιδιών δείχνει την εξέλιξη του κρυπτο-ransomware που έχει σαν στόχο νέες αγορές”, ανέφερε ο Vadim Kotov, ανώτερος ερευνητής ασφαλείας της Bromium Labs .

“Πολλοί νεαροί ενήλικες μπορεί να μην έχουν κανένα κρίσιμο έγγραφο ή πηγαίο κώδικα στον υπολογιστή τους (τις φωτογραφίες συνήθως τις αποθηκεύουν στο Tumblr ή στο Facebook), αλλά σίγουρα οι περισσότεροι από αυτούς έχουν ένα λογαριασμό στο Steam με μερικά παιχνίδια και ένα λογαριασμό στο iTunes γεμάτο μουσική.”

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


19  +    =  23