TeslaCrypt, акт третий

Новости Угрозы

Путь развития программ-вымогателей и история борьбы с ними чем-то напоминает сериал: можно проследить, как персонажи развивались, преодолевали очередные трудности и совершали новые деяния. Похоже, сериал TeslaCrypt, раскрывающий жизненный путь этого трояна-шифровальщика, как раз пополнился новой серией.

TeslaCrypt, акт третий

Первый раз о TeslaCrypt заговорили в феврале этого года, когда этот троян, основанный на CryptoLocker, поразил компьютеры любителей некоторых онлайн-игр и зашифровал на них файлы. За возврат данных троян требовал выкуп — примерно $500.

На тот момент злоумышленники использовали достаточно слабый алгоритм шифрования, который можно было достаточно легко вскрыть, а ключи хранились в отдельном файле на жестком диске, так что их можно было добыть без особого труда. Для расшифровки поврежденных TeslaCrypt файлов пользователи форума BleepingComputer написали специальную программу TeslaDecoder, которая позволяла не платить выкуп и бесплатно получить свои файлы обратно.

Было бы здорово, если бы первый сезон сериала оказался провальным — и, следовательно, последним. Но злоумышленники решили его продлить, учли свои ошибки и выпустили TeslaCrypt 2.0, исправленный и дополненный, который «Лаборатория Касперского» обнаружила в июле этого года. От первой версии новый троян отличался значительно усиленным эллиптическим алгоритмом шифрования, который до сих пор не удалось взломать, а также тем, что ключи записывались не в файл, а в системный реестр.

Раздобывшие ключ жертвы обновленного трояна тоже могут воспользоваться TeslaDecoder, чтобы вернуть свои файлы. Но без ключа полезная программа уже ни на что не способна.

Не так давно началась очередная серия эпидемия, на сей раз TeslaCrypt версии 2.2.0. Сейчас идет массовая спам-рассылка писем, прикидывающихся напоминаниями об оплате счета, а на деле скачивающих эксплойт-кит Angler, который, в свою очередь, загружает на компьютер пользователя обновленный TeslaCrypt. Такие письма имеют достаточно большой шанс быть открытыми, поскольку забыть про один из сотен счетов — дело абсолютно привычное практически для любой компании.

Плюс к этому злоумышленники развернули достаточно масштабную кампанию по заражению сайтов на базе блог-движка WordPress, среди которых оказался, например, блог крупного британского СМИ The Independent. Здесь главным подозреваемым вновь оказался Angler, скачивающий либо TeslaCrypt, либо другой троян, BEDEP, который в дополнение к самому себе загружает также печально известный CryptoLocker.

Согласно сведениям коллег из Trend Micro, блог The Independent был заражен 21 ноября, и только 9 декабря сотрудники портала исправили проблему, перенаправив посетителей на основную страницу издания, которая не подверглась заражению.

Представители The Independent заявили, что реклама, висевшая в блоге, оказалась скомпрометирована, но страницу блога, дескать, практически не посещали, и подтверждений тому, что хоть кто-то пострадал от трояна, нет. Однако суммарное количество людей, перенаправленных со всех источников (не только с многострадального The Independent) на страницу, загружавшую зловред, достигало 4 тыс. человек в день. Если у попадавшего на эту страницу не были установлены последние обновления Adobe Flash, Angler использовал уязвимость в этом ПО и заражал систему.

Похоже, что в этот раз основной целью киберзлодеев стали не отдельные пользователи, а компании. По данным Heimdal Security, от новой волны распространения трояна-шифровальщика страдают в основном бизнесы в Европе. Данные «Лаборатории Касперского» говорят о том, что крупный всплеск активности TeslaCrypt также замечен в Японии. Какая страна станет следующей целью злоумышленников — предсказать невозможно.

Чтобы защититься от троянов-шифровальщиков или хотя бы снизить наносимый ими вред, мы настоятельно рекомендуем следующее.

  1. Используйте современное защитное ПО. Например, если в вашем продукте «Лаборатории Касперского» включен модуль «Мониторинг активности» (System Watcher), то вы неуязвимы для TeslaCrypt — модуль помешает троянцу зашифровать ваши файлы.
  2. Обязательно устанавливайте все важные обновления. В таких продуктах, как офисные пакеты, браузеры и Adobe Flash, достаточно регулярно обнаруживаются новые уязвимости, и столь же регулярно для них выходят обновления, закрывающие бреши. Если у вас установлены все самые свежие обновления, велика вероятность, что эксплойт-кит не обнаружит ни одну из используемых им уязвимостей и просто не сможет ничего сделать с вашим компьютером.
  3. Делайте бэкапы. Обязательно и достаточно часто — хотя бы раз в неделю. Например, с этой задачей отлично справляется Kaspersky Total Security. Даже если ничего не помогло и троян все же проник в вашу систему, при наличии резервной копии вы можете либо стереть зашифрованные файлы и очистить систему от зловредов при помощи антивируса, либо просто переустановить систему и перезалить на нее нужные файлы.

Если же вы читаете этот текст потому, что ваши файлы уже зашифрованы и вы ищете решение проблемы, то универсального решения, к сожалению, нет. Быть может, вы сможете заполучить ключ — и тогда вам помогут упомянутый выше TeslaDecoder или подобная утилита Cisco.

Если ключа нет, то, скорее всего, ничего не поделаешь. Тем не менее мы советуем без крайней необходимости не выплачивать злоумышленникам требуемый ими выкуп — чем меньше людей поделится с ними своими деньгами, тем меньше стимулов у них будет разрабатывать новые шифровальщики и прочие вредоносные программы.