TeslaCrypt 4.0 szyfruje dane i zmienia komputer w zombie

Szyfrujące zagrożenie TeslaCrypt uderza po raz czwarty. Nowa wersja złośliwego programu wymusza okup za odszyfrowanie danych, dodatkowo włączając zaatakowane maszyny w sieć komputerów zombie. Jedyną formą obrony przed TeslaCrypt 4.0 pozostaje na ten moment wykonany wcześniej backup danych.

Niecałe trzy miesiące od wykrycia TeslaCrypt 3.0 do sieci trafia jeszcze nowsza i groźniejsza wersja tego zagrożenia. Eksperci firmy bezpieczeństwa IT Heimdal Security właśnie zidentyfikowali odmianę 4.0, która usuwa słabe strony poprzednich wersji i rozszerza arsenał cyberprzestępców. W jaki sposób?

Po zarażeniu komputera złośliwy program szyfruje pliki ofiary algorytmem RSA 4096, którego złamanie jest praktycznie niemożliwe. Następnie obiecuje wydanie klucza deszyfrującego pod warunkiem opłacenia haraczu w walucie BitCoin o wartości między 150 a 1000 dolarów. Prócz zaszyfrowania danych zainfekowanej maszyny zagrożenie dodatkowo włącza ją w tworzony przez siebie botnet – sieć komputerów zombie wykorzystywanych przez cyberprzestępców np. do zmasowanych ataków DDoS (blokowanie stron www przez przeciążanie ich zasobów). Podobnie jak w poprzednich kampaniach propagujących zagrożenie, TeslaCrypt 4.0 rozprowadzany jest po sieci jako załącznik do wiadomości spamowych lub element zestawu exploitów o nazwie Angler. To popularna wśród cyberprzestępców „skrzynka narzędziowa” pełna instrumentów ułatwiających cyberataki.

Czym odmiana 4.0 przewyższa poprzednie wersje zagrożenia? Poprawiono m.in. błąd w szyfrowaniu dużych plików, który do tej pory nieodwracalnie uszkadzał pliki zajmujące powyżej 4GB. Prócz tego mechanizm szyfrujący usuwa teraz swoje rozszerzenie (*.ecc) z nazw szyfrowanych plików, utrudniając ofiarom identyfikację zagrożenia. Dotychczas ofiary po rozpoznaniu źródła ataku mogły szukać ratunku w narzędziu „TeslaDecoder” – bezpłatnej aplikacji deszyfrującej pliki odcięte niektórymi wcześniejszymi wersjami TeslaCrypt. Wobec nowej odmiany zagrożenia „TeslaDecoder” pozostaje bezradny.

Ofiarom TeslaCrypt 4.0 pozostają dwa wyjścia, w tym tylko jedno dobre: przywrócenie pełnego systemu z pliku backupu utworzonego przed atakiem szyfrującym. Firma ANZENA oferująca rozwiązania StorageCraft ShadowProtect SPX do tworzenia i szybkiego przywracania danych z backupu zwraca uwagę, że regularne tworzenie kopii bezpieczeństwa uchroni przed atakami każdą maszynę i każdą sieć. Dysponując nowoczesnym systemem backupu można np. w 15 minut przywrócić kilka TB zablokowanego systemu i wznowić przerwaną pracę tak, jak gdyby atak czy usterka w ogóle nie miały miejsca. Szczególną uwagę powinny na to zwrócić firmy, dla których odcięcie serwera bazodanowego czy kluczowych komputerów może oznaczać niezwykle kosztowny przestój w działaniu.

Warto zauważyć, że autorom TeslaCrypt przygotowanie kolejnych czterech wersji zagrożenia zajęło tylko rok. Pierwsza odmiana, wykryta w marcu 2015 uderzała głównie w graczy, infekując komputery po wykryciu na nich m.in. takich gier jak Call of Duty, World of Warcraft, World of Tanks i Minecraft. Drugą wersję ransomware zauważono w listopadzie 2015, gdy wzorem trojana Carberp próbowała ukrywać swój kod przed wykryciem sygnaturami rozwiązań antywirusowych. Miesiąc później uderzyła w firmy i użytkowników indywidualnych szantażując 70 000 ofiar w przeciągu tygodnia. Pierwszy kwartał 2016 roku przyniósł już dwie kolejne wersje programu, którego twórcy najprawdopodobniej jeszcze przyspieszą. Wszystko po to, by utrudnić potencjalnym ofiarom wymiganie się od kosztownego haraczu.