Myślimy
kompleksowo
 

22 marca 2016

TeslaCrypt 4.0 szyfruje dane i zmienia komputer w zombie

Szyfrujące zagrożenie TeslaCrypt uderza po raz czwarty. Nowa wersja złośliwego programu wymusza okup za odszyfrowanie danych, dodatkowo włączając zaatakowane maszyny w sieć komputerów zombie. Jedyną formą obrony przed TeslaCrypt 4.0 pozostaje na ten moment wykonany wcześniej backup danych.

Niecałe trzy miesiące od wykrycia TeslaCrypt 3.0 do sieci trafia jeszcze nowsza i groźniejsza wersja tego zagrożenia. Eksperci firmy bezpieczeństwa IT Heimdal Security właśnie zidentyfikowali odmianę 4.0, która usuwa słabe strony poprzednich wersji i rozszerza arsenał cyberprzestępców. W jaki sposób?

Po zarażeniu komputera złośliwy program szyfruje pliki ofiary algorytmem RSA 4096, którego złamanie jest praktycznie niemożliwe. Następnie obiecuje wydanie klucza deszyfrującego pod warunkiem opłacenia haraczu w walucie BitCoin o wartości między 150 a 1000 dolarów. Prócz zaszyfrowania danych zainfekowanej maszyny zagrożenie dodatkowo włącza ją w tworzony przez siebie botnet - sieć komputerów zombie wykorzystywanych przez cyberprzestępców np. do zmasowanych ataków DDoS (blokowanie stron www przez przeciążanie ich zasobów). Podobnie jak w poprzednich kampaniach propagujących zagrożenie, TeslaCrypt 4.0 rozprowadzany jest po sieci jako załącznik do wiadomości spamowych lub element zestawu exploitów o nazwie Angler. To popularna wśród cyberprzestępców "skrzynka narzędziowa" pełna instrumentów ułatwiających cyberataki.

Czym odmiana 4.0 przewyższa poprzednie wersje zagrożenia? Poprawiono m.in. błąd w szyfrowaniu dużych plików, który do tej pory nieodwracalnie uszkadzał pliki zajmujące powyżej 4GB. Prócz tego mechanizm szyfrujący usuwa teraz swoje rozszerzenie (*.ecc) z nazw szyfrowanych plików, utrudniając ofiarom identyfikację zagrożenia. Dotychczas ofiary po rozpoznaniu źródła ataku mogły szukać ratunku w narzędziu "TeslaDecoder" - bezpłatnej aplikacji deszyfrującej pliki odcięte niektórymi wcześniejszymi wersjami TeslaCrypt. Wobec nowej odmiany zagrożenia "TeslaDecoder" pozostaje bezradny.

Ofiarom TeslaCrypt 4.0 pozostają dwa wyjścia, w tym tylko jedno dobre: przywrócenie pełnego systemu z pliku backupu utworzonego przed atakiem szyfrującym. Firma ANZENA oferująca rozwiązania StorageCraft ShadowProtect SPX do tworzenia i szybkiego przywracania danych z backupu zwraca uwagę, że regularne tworzenie kopii bezpieczeństwa uchroni przed atakami każdą maszynę i każdą sieć. Dysponując nowoczesnym systemem backupu można np. w 15 minut przywrócić kilka TB zablokowanego systemu i wznowić przerwaną pracę tak, jak gdyby atak czy usterka w ogóle nie miały miejsca. Szczególną uwagę powinny na to zwrócić firmy, dla których odcięcie serwera bazodanowego czy kluczowych komputerów może oznaczać niezwykle kosztowny przestój w działaniu.

Warto zauważyć, że autorom TeslaCrypt przygotowanie kolejnych czterech wersji zagrożenia zajęło tylko rok. Pierwsza odmiana, wykryta w marcu 2015 uderzała głównie w graczy, infekując komputery po wykryciu na nich m.in. takich gier jak Call of Duty, World of Warcraft, World of Tanks i Minecraft. Drugą wersję ransomware zauważono w listopadzie 2015, gdy wzorem trojana Carberp próbowała ukrywać swój kod przed wykryciem sygnaturami rozwiązań antywirusowych. Miesiąc później uderzyła w firmy i użytkowników indywidualnych szantażując 70 000 ofiar w przeciągu tygodnia. Pierwszy kwartał 2016 roku przyniósł już dwie kolejne wersje programu, którego twórcy najprawdopodobniej jeszcze przyspieszą. Wszystko po to, by utrudnić potencjalnym ofiarom wymiganie się od kosztownego haraczu.

Autorem tekstu jest Piotr Surmacz

Justyna Pietruszka
marketing specialist

Masz pytania?
Skontaktuj się ze mną:
pietruszka.j@anzena.pl
32 259 10 89