31 июля 2015

Правила меняются: новая версия TeslaCrypt подражает «старшему брату»

Бизнес

В наши дни новости о программах-вымогателях стали отчасти напоминать военные хроники. На самом деле это следствие повышенного внимания к конкретному типу угроз. Подобное происходило в начале 2000-х, когда сеть терроризировали интернет-черви. Современные вредоносные программы могут быть столь же разрушительными, но они, прежде всего, существуют для извлечения прибыли из жертв. В этой статье мы разберём новую версию вымогателя TeslaCrypt, в последнее время начавшего подражать CryptoWall, о котором ранее мы уже писали в нашем блоге.

Подражатель

TeslaCrypt является относительно новым вариантом ужасного CryptoLocker, который наделал много шума после того, как стал нападать на онлайновых геймеров.

Преступники открыли ещё один источник относительно лёгких денег: заядлые геймеры с охотой платят за восстановление доступа к своему контенту, несмотря на то, что в большинстве онлайновых игр ключевые уникальные данные игрока хранятся в облаке, а не локально.

Тем не менее, этот вариант CryptoLocker, который теперь называется TeslaCrypt, может зашифровать любые другие важные файлы, так что не одни геймеры являются его потенциальными жертвами.

Новая версия, недавно перехваченная исследователями «Лаборатории Касперского», имеет два отличительных признака: новую схему шифрования и новое «предупреждение».

На самом деле в последнем нет ничего нового. По какой-то злосчастной причине операторы TeslaCrypt «позаимствовали» выводящееся на экран предупреждение у Cryptowall.

wide

Почему? Фёдор Синицын из «Лаборатории Касперского» в анализе нового вымогателя предполагает, что нападавшие «хотели произвести серьёзное впечатление на своих жертв», так как файлы, зашифрованные с помощью CryptoWall, взломать нельзя, не зная секретного ключа, в то время как с TeslaCrypt такое возможно.

Хотя и это может оказаться теперь несколько труднее, поскольку схема шифрования снова улучшена и стала ещё сложнее, чем раньше. Ключи генерируются с помощью алгоритма ECDH, который был реализован в версиях 0.3.x. В данном варианте это кажется более уместным, поскольку служит определенной цели — позволяет злоумышленникам расшифровывать файлы, используя лишь «мастер-ключ».

Подробный анализ доступен на Securelist.

Почему это важно для бизнеса?

В целом, TeslaCrypt как угроза не сильно отличается от других современных программ-вымогателей. Он имеет некоторые функции уклонения, общается с контрольными серверами по сети, хотя сами серверы находятся в сети Tor (используются сервисы tor2web). Это куда менее страшный зверь, чем кажется. Он пугает жертв 2048-битным шифрованием RSA, но его нет и в помине. На самом деле используется 256-битное шифрование, и иногда закодированные файлы можно восстановить, ничего не оплачивая. Но только иногда.

Более подходящим способом справиться с криптолокером является принятия ряда хорошо известных мер. Нужно регулярно обновлять программное обеспечение, иметь современное антивредоносное решение с функцией профилактики эксплойтов — это особенно важно, так как TeslaCrypt обычно сбрасывается рядом наборов эксплойтов.

А самое главное, следует держать в «холодильнике» резервные копии. Это налучший способ предотвратить все виды шифровымогательства и повреждения данных.