Клон CryptoLocker, версия для геймеров

Угрозы

Обычно создатели троянцев-шифровальщиков работают со взрослой целевой аудиторией, и основной целью вымогателей становятся офисные документы и фотографии — те файлы, с которыми людям очень не хочется расставаться. Однако с молодежью все не так просто: почти все ценное у нынешних тинейджеров хранится в соцсетях. Впрочем, есть одно исключение, которое и использовали создатели TeslaCrypt: они догадались требовать выкуп не за документы, а за файлы, которые относятся к компьютерным играм.

TeslaCrypt: клон Cryptolocker, версия для геймеров

Краткий экскурс в основные принципы работы шифровальщиков. Эти зловреды шифруют все файлы определенных типов, найденные на компьютере, и удаляют оригиналы. После этого они требуют у жертвы выкуп (как правило, речь идет о достаточно внушительных суммах) за ключ, позволяющий расшифровать файлы. Чтобы добавить напряжения, некоторые вымогатели ставят жертве жесткие условия по срокам уплаты выкупа. Если владелец файлов не укладывается в поставленные сроки, ключ стирается, после чего восстановить файлы становится окончательно невозможно.

Информация о новой разновидности шифровальщика, нацеленной на геймеров, впервые появилась на форуме Bleeping Computer, посвященном технической поддержке. Обнаружил его Фабиан Восар из Emsisoft, вероятно, он же дал ему имя TeslaCrypt. Компания Bromium, специализирующаяся на ИТ-безопасности, опубликовала собственное исследование этого шифровальщика, в котором назвала его новым вариантом CryptoLocker.

По сведениям Bleeping Computer, TeslaCrypt нацелен на файлы, связанные с такими играми и игровыми платформами, как World of Warcraft, World of Tanks, RPG Maker, League of Legends, Call of Duty, Dragon Age, StarCraft, MineCraft и так далее — всего в списке более 40 наименований. Собственно, это основное отличие данной разновидности шифровальщика от существовавших ранее — предшественники TeslaCrypt были нацелены на документы, изображения, видео и другие общераспространенные файлы, которые обычно хранятся на компьютерах пользователей.

Для блокировки доступа к содержимому файлов TeslaCrypt использует AES-шифрование. За ключ, позволяющий восстановить файлы, вымогатели требуют $500, если в качестве оплаты жертва выберет BitCoin, и $1000, если выкуп заплатить переводом на карту PayPal My Cash.

Если Bleeping Computer принадлежит честь первооткрывателей зловреда, то Bromium в своем исследовании смогли привести дополнительные подробности о том, как он распространяется. В качестве «средства доставки» злоумышленники использовали эксплойт-кит Angler.

Эксплойт-кит — это программное обеспечение, предназначенное для проникновения в компьютерные системы с использованием набора распространенных уязвимостей. Создателям конечного зловреда не обязательно разрабатывать эксплойт-кит самостоятельно — они просто платят разработчикам за лицензию и после этого снабжают «ракету-носитель» чужого производства собственной «боеголовкой».

Наиболее популярным эксплойт-китом недавнего прошлого был BlackHole. Однако после того, как его автор был арестован в России, его популярность предсказуемо сошла на нет. Через полтора года после того, как это произошло, свободную нишу занял Angler, разработчики которого постоянно адаптируют свое творение для использования новейших уязвимостей нулевого дня.

У TeslaCrypt есть пара интересных особенностей. Во-первых, как и появившаяся несколько месяцев назад усовершенствованная версия CTB-Locker, шифровальщик позволяет в качестве демонстрации восстановить один файл бесплатно. Во-вторых, на том же сайте в сети Tor имеется встроенный чат, в котором пользователь может получить техническую поддержку от злоумышленников, например, в том случае, если ему что-то непонятно в механизмах приобретения BitCoin.

Лучшая защита от этого вымогателя и всех ему подобных — регулярно проводить резервное копирование данных

Также вымогатели предупреждают пользователя о том, что если деньги не будут переведены в течение трех дней, то ключ будет уничтожен. Похожее требование в свое время использовали создатели нашумевшего CryptoLocker — вероятно, по этой причине в Bromium и называют TeslaCrypt вариантом CryptoLocker. С технической точки зрения у этих зловредов довольно мало общего.

На Kaspersky Daily мы придерживаемся традиции не советовать пострадавшим от шифровальщика платить выкуп. Уплата выкупа стимулирует вирусописателей на дальнейшие преступные действия. Однако не будем скрывать: если ваши файлы уже зашифрованы, то никакого другого способа их восстановить нет.

Поэтому мы в очередной раз рекомендуем не лениться принимать необходимые меры превентивно. Лучшая защита от этого вымогателя и всех ему подобных — регулярно проводить резервное копирование данных. Другой вариант — использование серьезного антивирусного продукта. Например, Kaspersky Internet Security, равно как и Kaspersky Total Security, наделены специально разработанной функцией защиты от шифровальщиков.

В качестве дополнительных мер безопасности следует всегда обновлять операционную систему и все используемые вами приложения — в первую очередь браузер и все дополнения к нему. Это позволит защититься от старых версий эксплойт-китов, которые используют для атаки уже известные и залатанные дырки.

Как мы уже неоднократно говорили, шифровальщики-вымогатели пришли всерьез и надолго. Увы, создатели этих зловредов очень ответственно подходят к своей работе, совершенствуя не только технические особенности своих «продуктов», но и маркетинговые, если можно так выразиться. Новые шифровальщики не только лучше проникают на компьютеры и более тщательно блокируют файлы — они также лучше стимулируют пользователей к приобретению предлагаемых вымогателями «услуг».

Одним словом, это серьезный, хорошо поставленный и, главное, прибыльный бизнес. И чем больше беззащитных устройств мы будем подключать к Интернету, тем больше у преступников будет возможностей для вымогательства, так что проблема со временем будет только ухудшаться. Не ждите, пока доберутся до вас, — в этом случае будет уже поздно. Действуйте прямо сейчас.