Forumi » Održavanje i zaštita kompjutera
Ransomware TeslaCrypt: nove verzije, novi način širenja
-
Ransomware TeslaCrypt otkriven je početkom prošle godine, a ubrzo posle toga pojavio se i alat za dešifrovanje fajlova koje je šifrovao ovaj malver.
TeslaCrypt je od tada došao do verzija 4.0 i 4.1, ali nažalost, trenutno je nemoguće dešifrovati šifrovane fajlove ako žrtve nisu spremne da kriminalcima plate otkup.
Jedna od novina je to što malver više ne koristi ekstenziju za šifrovane fajlove, zbog čega je žrtvama teže da otkriju koji je ransomware u pitanju. U tome može da im pomogne ID Ransomware.
Druga novina je to što se TeslaCrypt ne širi više samo preko exploit alata, već i preko spam emailova.
Najnoviji pokušaj širenja ransomwarea primetili su stručnjaci firme Endgame. Spam emailovi sadrže potvrdu o dostavi paketa. ZIP fajlovi u ovim spam emailovima zapravo sadrže JavaScript fajl koji je downloader koji preuzima payload, u ovom slučaju TeslaCrypt.
Kada se ZIP fajl otvori dolazi do infekcije računara.
Tokom procesa enkripcije, malver generiše javni ključ baziran na šifrovanom privatnom ključu. Malver šifruje sve fajlove koji imaju odgovarajuće ekstenzije. Kada završi sa tim, malver prikazuje poruku o otkupu u formi teksta, slike i web stranice. Malver zatim kontaktira server za komandu i kontrolu da bi ga obavestio o novoj žrtvi.
Kada se pojavila najnovija verzija malvera, TeslaCrypt 4.1A, većina antivirusa je nije detektovala.
Stručnjaci kažu da ovakve spam kampanje imaju mali procent zaraženih računara, ali su veoma isplatljive zbog toga što se emailovi šalju na veliki broj email adresa.
“Pored toga, skraćeni vremenski intervali između verzija (malvera) odražavju trendove kod ransomwarea u prethodnih 6 do 12 meseci. Brzina ažuriranja između širenja verzija se smanjuje, dok sofisticiranost raste. Ovo otežava reverzni inženjering malvera, uključujući i tehnike obmane kao što je dovođenje istraživača u zabludu da se koristi RSA-4096 enkripcija iako se koristi AES-256", kažu iz firme Endgame.