Компания «Лаборатория Касперского» сообщила об обнаружении необычного троянца-шифровальщика, выдающего себя за другую вредоносную программу. TeslaCrypt 2.0 — это новая версия зловреда, требующая 500 долларов за ключ для декодирования зашифрованных файлов. В основном от вымогательств этой программы пострадали пользователи в США и Германии, однако угроза не обошла стороной и Россию, которая оказалась в первой десятке стран с наибольшим количеством заражений.
Аналитики компании наблюдают за этим зловредом с начала года: первые образцы TeslaCrypt были обнаружены в феврале 2015 года, и с тех пор шифровальщик претерпел несколько изменений. В последней версии программа требует выкуп путем демонстрации своим жертвам HTML-страницы, целиком скопированной с другого широко известного вымогателя — CryptoWall 3.0. Возможно, злоумышленники хотели таким образом продемонстрировать серьезность своих намерений, ведь до сих пор файлы, зашифрованные CryptoWall, не поддаются расшифровке.
Свой нечестный заработок киберзлоумышленники собирают при помощи криптовалюты: при каждом заражении TeslaCrypt генерирует новый уникальный адрес Bitcoin и секретный ключ для приема платежей от конкретного пострадавшего. Отличительной особенностью зловреда является то, что он заражает типичные игровые файлы, например, файлы сохранений, пользовательских профилей, записанных повторов игр. Любопытно, что TeslaCrypt 2.0 не шифрует файлы размером более 268 Мб.
«TeslaCrypt, охотник за геймерами, склонен к обману и запугиванию пользователей. Например, в предыдущих версиях жертве сообщалось, что файлы зашифрованы при помощи знаменитого алгоритма RSA-2048, который на сегодняшний день не может быть взломан. Таким образом, вероятно, злоумышленники хотели заставить пользователя поверить, что у него нет другой альтернативы, кроме как заплатить выкуп. На самом же деле этот алгоритм злоумышленники не применяли, — отметил Федор Синицын, антивирусный аналитик «Лаборатории Касперского». — Обновленная версия TeslaCrypt 2.0 убеждает жертву, что перед ним несокрушимый CryptoWall. Однако все ссылки ведут на сервер TeslaCrypt — отдавать конкурентам деньги жертв никто из авторов этого зловреда явно не планирует».