На чужих лаврах: шифровальщик запугивает пользователей, притворяясь более мощным зловредом

Kaspersky Lab обнаружила необычного троянца-шифровальщика, выдающего себя за другую вредоносную программу. Речь идет о TeslaCrypt 2.0 – новой версии зловреда, прослывшего грозой геймерского мира и требующего $500 за ключ для декодирования зашифрованных файлов. В основном от вымогательств этой программы пострадали пользователи в США и Германии, однако угроза не обошла стороной и Украину.

Аналитики Kaspersky Lab наблюдают за этим зловредом с начала года: первые образцы TeslaCrypt были обнаружены в феврале 2015 года, и с тех пор шифровальщик претерпел несколько изменений. В последней версии программа требует выкуп путем демонстрации своим жертвам HTML-страницы, целиком скопированной с другого широко известного вымогателя – CryptoWall 3.0. Возможно, злоумышленники хотели таким образом продемонстрировать серьезность своих намерений, ведь до сих пор файлы, зашифрованные CryptoWall, не поддаются расшифровке.

Свой нечестный заработок киберзлоумышленники собирают при помощи криптовалюты:  при каждом заражении TeslaCrypt генерирует новый уникальный адрес Bitcoin и секретный ключ для приема платежей от конкретного пострадавшего. Отличительной особенностью этого зловреда является то, что он заражает типичные игровые файлы, например, файлы сохранений, пользовательских профилей, записанных повторов игр и т. д. Любопытно, что TeslaCrypt 2.0 не шифрует файлы размером более 268 Мб.

«Создатели TeslaCrypt уже не в первый раз применяют обман и запугивание пользователей для увеличения суммы выкупа и получения большей прибыли, – рассказал Дэвид Эмм, антивирусный эксперт Kaspersky Lab. – Так, обновленная версия TeslaCrypt 2.0 убеждает жертву, что перед ним известный вымогатель CryptoWall, атакуемые которым файлы до сих пор не поддаются расшифровке. Однако все ссылки ведут на сервер TeslaCrypt, ведь отдавать конкурентам деньги жертв никто из авторов этого зловреда явно не планирует. Как видим, этот шифровальщик склонен присваивать достижения других зловредов с целью заставить пользователей поверить, что у них нет другой альтернативы, кроме как заплатить выкуп».

Для того чтобы избежать потери данных в результате атаки TeslaCrypt 2.0, пользователям рекомендуется:

• осуществлять регулярное резервное копирование всех важных файлов, а копии хранить на носителях, физически отключаемых сразу после завершения бекапа;
• вовремя обновлять ПО, в особенности плагины браузера и сам браузер, поскольку зловред распространяется через эксплойт-паки, использующие уязвимости в софте;
• установить антивирусный продукт последней версии с обновленными базами и активированными модулями защиты.

Решения Kaspersky Lab детектируют зловред как Trojan-Ransom.Win32.Bitman.tk и успешно защищают пользователей от этой угрозы.

Более подробная информация об особенностях TeslaCrypt 2.0 доступна по ссылке https://securelist.ru/?p=26212.