Najnowszy wirus o nazwie TeslaCrypt atakuje użytkowników Windows, rozwijając możliwości ransomware. Oprogramowanie tego rodzaju należy do najbardziej dotkliwych, konsekwentnie łamiąc prawo, blokując użytkownikom dostęp do plików i żądając pieniędzy za ich ponowne udostępnienie.

TeslaCrypt zostało pierwszy raz wykryte w styczniu 2015 roku, w laboratoriach Sophos. Jego działanie jest w znacznej mierze podobne do CryptoLocker bądź CryptoWall, lecz swoim zasięgiem obejmuje ono znacznie więcej plików.

Wirus wyszukuje najcenniejszych danych na komputerze, sortując je według ich rodzaju. W strefie zagrożenia znajdują się zwłaszcza zdjęcia, arkusze kalkulacyjne i dokumenty Office. Najnowsza wersja złośliwego oprogramowani potrafi jednak znacznie więcej - wyszukuje także zapisy gier, dane konfiguracyjne i mapy.

Szczególnie narażone na ataki są takie pozycje jak Call of Duty, World of Warcraft, DayZ, Minecraft, Fallout i Diablo, a także informacje zapisane na platformie Steam. Na tym nie kończy się szkodliwość oprogramowania – TeslaCrypt znajduje również pliki związane ze zwrotami podatków, finansami osobistymi, oprogramowaniem Intuit Quicken oraz iTunes.

TeslaCrypt vs. CryptoLocker

TeslaCrypt czerpie na wiele sposobów z udanego wzorca stworzonego przez oszustów odpowiedzialnych za CryptoLocker. Program wykorzystuje kryptografię klucza publicznego, czyli punktu zawierającego osobne przyciski do blokowania i odblokowywania plików. Klucz publiczny może zostać przekazany każdemu szyfrującemu pliki, ale tylko klucz prywatny może je później odszyfrować. TeslaCrypt generuje klucze publiczno-prywatne na własnych serwerach, a następnie wysyła klucz publiczny do złośliwego oprogramowania umieszczonego na komputerze. W rezultacie, złośliwe oprogramowanie może połączyć się z danymi na komputerze, ale klucz potrzebny do ich rozszyfrowania nigdy nie zapisuje się na urządzeniu - nie ma go ani na dysku, ani nawet w pamięci. Aby uzyskać dostęp do plików, użytkownik potrzebuje dodatkowego klucza prywatnego, a żeby go zdobyć - trzeba zapłacić w określonym czasie okup.

O zbliżającym się terminie przypomina zegar wyświetlający się na ekranie. Po upływie tego czasu, klucz prywatny zostaje ostatecznie zniszczony, a co za tym idzie - nikt nie jest w stanie odszyfrować plików.

Podobnie jak najnowsze wersje CryptoWall i innych naśladowców CryptoLocker, TeslaCrypt domaga się zapłaty w BitCoinach lub w innych, w dużej mierze anonimowych, systemach płatności, takich jak Ukash. Ekran ostrzegawczy podaje link do strony za pośrednictwem Tor, która oferuje dalsze instrukcje na temat sposobu zapłaty. Dodatkowo, ofiary oprogramowania są zachęcane do przesyłania jednego pliku, tak aby uzyskać jedno rozszyfrowane "za darmo". Jest to coś na kształt dowodu, który ma przekonać użytkownika, że oszuści naprawdę są w posiadaniu klucza prywatnego i po zakończeniu transakcji, wywiążą się ze swojej części umowy.

Dlaczego rośnie zagrożenie programami ransomware?

Oprogramowanie typu ransomware nie jest tak naprawdę żadną nowością - starsze formy tego szkodnika pojawiały się już wiele lat temu. Swoją popularność zawdzięczają niezwykłej skuteczności i opłacalności, a więc tym bardziej prawdopodobna staje się możliwość, że wkrótce pojawi się wiele nowych, ulepszonych wariantów tego typu wirusa. Mimo, że cyberprzestępcy opracowali wiele programów do zarabiania pieniędzy, od wysyłania spamu po kradzież haseł
i informacji bankowych, ransomware wciąż oferuje najłatwiejszy zysk.

Departament Sprawiedliwości USA szacuje, że grupa posługująca się wirusami typu CryptoLocker zarobiła około 27 milionów dolarów w zaledwie dwa miesiące po pierwszym ataku, który miał miejsce we wrześniu 2013 roku. W związku z tym, że tak wiele ofiar było skłonne zapłacić za dostęp do plików (według badania ponad 40% ofiar), kolejne ataki są niemal pewne.

Jak się zabezpieczyć przed szkodnikiem?

TeslaCrypt przenosi się za pośrednictwem spamu, przez zainfekowane załączniki e-maili lub poprzez linki do stron internetowych, które pobierają ransomware tak, aby oprogramowanie filtrujące i antywirusowe nie mogło ich wytropić. Najpierw, program kontaktuje się z serwerem w celu wygenerowania pary kluczy szyfrowania publiczno-prywatnego. Firewalle nowej generacji i oprogramowanie anty-malware, które mogą wykryć tego typu podejrzany ruch, mogą już w tym miejscu zatrzymać złośliwe oprogramowanie. Jeśli jednak stałeś się ofiarą szkodnika i nie chcesz zapłacić okupu, jedynym rozwiązaniem jest wykorzystanie kopii zapasowych, bowiem szyfrowanie RSA stosowane przez tej rodzaj wirusa jest zbyt silne, aby je złamać bez odpowiednich kluczy dostępu.

Posiadanie kopii zapasowej wartościowych plików jest podstawową zasadą bezpiecznego użytkowania komputera. Warto również pamiętać, że każdą kopię zapasową warto zapisać również na innym nośniku, np. dysku zewnętrznym.