В последнее время зловреды с шифрованием файлов получили большую популярность у киберпреступников. Такие программы шифруют файлы и требуют «выкуп» у пользователя за их расшифровку. Обычно выплату предлагается осуществить в биткоинах. Если оплату не произвести в указанный срок, то файлы могут быть удалены.

Хотя таких программ существует немало, но всё ещё остаётся поле для инноваций. Так, недавно появился новый вариант зловреда, который ищет жертв среди любителей компьютерных игр, в частности, на платформе Steam.

Новый криптолокер — разновидность семейства TeslaCrypt, он работает как оригинальный CryptoLocker, но исследователи обращают внимание, что его кодовая база отличается от предшественников. Особенность TeslaCrypt заключается в том, что кроме обычных документов, он ищет и шифрует на жёстком диске файлы, которые относятся к более чем 40 компьютерным играм и инструментам игрового разработчика.

В списке под прицелом криптолокера — и старые, и новые игры. Например, там есть StarCraft II и WarCraft III, а также многопользовательская игра World of Warcraft. Кроме того, в списке TeslaCrypt присутствуют Bioshock 2, Call of Duty, DayZ, Diablo, Fallout 3, League of Legends, F.E.A.R, S.T.A.L.K.E.R, Minecraft, Metro 2033, Half-Life 2, Dragon Age: Origins, Resident Evil 4, World of Tanks, Metin 2, The Elder Scrolls, Star Wars: The Knights Of The Old Republic.

Программа также ищет файлы от специфических компаний-разработчиков, в том числе EA Sports, Bethesda и от игровой платформы Steam. А ещё он знает об инструментах разработки и специализированных программах, таких как RPG Maker, Unity3D и Unreal Engine. Возможно, автор программы и сам причастен к сфере разработки игр.

Поиск файлов происходит по расширениям. В частности, это игровые профили, сохранённые игры, карты, моды и т.д. Всего осуществляется поиск 185 расширений.

003

Как и другой криптолокер CryptoWall, эта программа использует сеть анонимайзеров Tor для передачи управляющих команд.

Специалистам пока не удалось найти способ, чтобы расшифровать файлы без «выкупа».

46 комментариев

  1. Аватар

    16.03.2015 at 16:39

    А где можно скачать такой криптолокер?

  2. Аватар

    16.03.2015 at 17:51

    А у меня почему-то нет пристрастия к играм. Совсем в них не играю. И даже не хочу. Мне больше по душе всю систему поломать, а потом копаться в ней. Не знаю, может я просто шизик.))

  3. Аватар

    17.03.2015 at 00:51

    » Если оплату не произвести в указанный срок, то файлы могут быть удалены.» К некоторым подобным зловредам идёт приписка, что ключ для расшифровки у вирусописателей хранится месяц, а после удаляется. Поэтому через месяц пользователи могут удалять свои файлы сами.

  4. Аватар

    17.03.2015 at 00:59

    Эти фрики всерьёз считают, что биткойны есть у всех, или что любой может завести себе кошелёк и положить туда денег с любого киви-терминала?

    • Аватар

      17.03.2015 at 10:00

      Они как раз-таки считают, что биткойны есть не у всех, но предполагают, что среди геймеров они в среднем встречаются почаще чем просто среди всех подряд, потому и охотятся только на них.

      • Аватар

        17.03.2015 at 10:04

        Геймеры зачастую совсем обесбашенны. За ради поиграть на халяву готову любой софт установить.

        • Аватар

          17.03.2015 at 15:53

          Да уже скоро и под фряхой-линухом будут эти лкоеры!
          Хочешь бесплатно поиграть в ГТА 5 под линуксом — установи этот скриптик — он сам всё скачает, толко при запуске скажи ему «судо инсталл».

      • Аватар

        17.03.2015 at 17:39

        Про геймеров написано дальше, а про биткойны — раньше. Следовательно, биткойны вымогают не только те, что охотятся на геймеров, но и те, что рассчитаны на домохозяек.

    • Аватар

      17.03.2015 at 10:16

      я всегда храню несколько, чтобы мои сохранения от игр выкупить, да сами и сохранения на компе складирую 😀 хотя они почти все в облако переехали

    • Аватар

      17.03.2015 at 23:40

      На самом деле вирусописатели заинтересованы в том, чтобы клиент успешно оплатил. Поэтому стараются максимально облегчить клиентам процесс оплаты. У моего знакомого была похожая ситуация. Пришло письмо со ссылкой. Скачал вечером, утром уже документы зашифрованы. Я ему потом помогал общаться с вирусописателями. Всю основную работу по общению с клиентом выполняет их почтовый робот-автоответчик. Робот знает курс биткоинов, знает с каким именно клиентом он общается и какой ключ нужен клиенту, в случае неправильных действий клиента робот поправляет. И каждый раз высылает ответным письмом вложение с подробной инструкцией. В случае со знакомым нужно было отправить два файла (создались после шифрования) на указанный адрес, ответ- это цена и номер счета биткоина с подробной инструкцией, после зачисления необходимой суммы на данный счет автоматически приходит ответ с дешифратором и файлом ключа. Пару раз мне отвечал человек. Т.е. с человеком в случае чего тоже можно поговорить. Если интересно наберите в яндексе: «keybtc@gmail.com инструкция» Много народу тогда полегло от этого шифровальщика. 😀

      • Аватар

        18.03.2015 at 02:18

        Как раз биткойн — это неудобная хреновина, оплатить успешно которую можно только имея кошелёк и каким-либо образом закинув на него денег (намайнить сейчас вообще не вариант, как я понимаю). Я не интересовался этой темой, но те же киви у нас стоят на каждом углу, а перевода в биткойны с киви или вебмани я вроде не видел. Так почему было не использовать то, что распространено? Нет, их заботит не простота оплаты, а анонимность. Меньше всего их волнует, на что придётся пойти жертве, чтобы перечислить деньги.

        • Аватар

          18.03.2015 at 02:42

          Биткоин невозможно отследить. Полностью анонимен. Поэтому вирусописатели и используют. Биткоин-кошелек это набор цифр, который может быть где угодно и у кого угодно, к личности не привязан. Варианты оплаты: вэбмани (есть криптокошелек); через обменники (wmglobus , например) (те принимают оплату с карт, кошельков вэбмани, яндекс и пр.) Отправляешь деньги обменнику и говоришь на какой кошелек перевести биткоины (указываем сразу кошелек вирусописателей, обменник на почту отписывается о движения средств и сообщает, когда деньги зачисляются на целевой кошелек); можно завести бесплатный кошелек на сайте (у меня на blockchain, способ пополнения тот же, что и у обменников), положить туда средства и платить; сгенерировать самому посредством Bitcoin Core, но это долго. Сейчас работать с криптовалютой не сложнее чем с обычным яндекс кошельком.

          • Аватар

            18.03.2015 at 11:49

            Ну вот ты это знаешь, тебе можно сажать криптолокер, ты откупишься, а я не знаю, мне бесполезно его ставить.

        • Аватар

          18.03.2015 at 04:13

          А ещё, написано на англицком, т.е. хозяева зловреда не имеют малейшего понятия, что такое киви или веб мани.

          • Аватар

            18.03.2015 at 11:50

            Ну тогда тем более. Если они хотят получить деньги, они должны максимально упростить процесс для жертвы, а они этого не делают. ССЗБ.

            • Аватар

              18.03.2015 at 12:20

              Так киви и вэбмани и не используется. В том-то и дело. Используются биткоины. Как универсальное средство. Я мог бы прислать подробную инструкцию от вирусописателей, если интересно. Там всё доступно написано, разжёвано, я бы сказал. Здесь выложить не могу так как хакер не пропускает посты со ссылками. В нашем случае текст на английском. Но если есть на компьютере что-то ценное (семейный аудио/видео архив, важные документы), то думаю для человека это может стать достаточной мотивацией, чтобы разобраться что делать.

              • Аватар

                18.03.2015 at 12:41

                Truandale Поместите текст или ссылку на форуме.

              • Аватар

                19.03.2015 at 13:29

                Вот! А с киви или вебмани даже разбираться не надо. Пошёл в терминал и опустил денежку.

                • Аватар

                  19.03.2015 at 15:31

                  Традиционные платёжные средства не обладают достаточной степенью анонимности. Проще вычислить преступника. Кстати говоря, у вирусописателей в моём случае был ещё запасной вариант общения через Bitcoin чат. Тот тоже построен примерно по тому же принципу, что и собственно платёжная система Bitcoin. Один идентификатор кошелька общается с другим идентификатором. Достаточно анонимно. В случае если почтовый адрес заблокируют, то в чате вам подскажут новый электронный адрес. В инструкции, которую я выложил об этом тоже говорится (см. на форуме). Кстати там же подробно описаны действия (пошагово) клиента, который хочет оплатить дешифратор. Достаточно сложно сделать что-то не так. Поэтому биткоин подходящий вариант для такого рода деятельности: безопасно, анонимно, надёжно, универсально. Та же самая инструкция, о которой я говорил может пригодится и другим пострадавшим, т.к. на сегодняшний день известные шифровальщики используют именно систему bitcoin по причинам описанным выше.

                  • Аватар

                    19.03.2015 at 23:12

                    Но ведь он же бессерверный, нет? Как же работает чат? Нужно ждать, пока каждый пакет все узлы сети перекачают? А где хранятся данные? Это ж если миллион человек начнёт чатиться, у всех распухнет база? Ведь данные пойдут через всех?

                    • Аватар

                      20.03.2015 at 00:47

                      Если интересно прочитайте про BitMessage (есть на Википедии). »

                      Bitmessage — криптографический мессенджер с открытым исходным кодом, использующий децентрализованную P2P-сеть. Сеть Bitmessage сходна с сетью Bitcoin,
                      тем, что опирается на криптографию и жертвует некоторым удобством ради
                      безопасности и децентрализации, однако она предназначена для задачи
                      пересылки сообщений, а не денежных транзакций. Сеть получила резкий
                      всплеск популярности[1] после разглашений Эдварда Сноудена о системе тайного слежения за интернет-пользователями PRISM.
                      В данный момент, сеть Bitmessage обрабатывает несколько тысяч частных сообщений в день.

                      Описание

                      Сеть Bitmessage работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования, таким образом, что только получатель сообщения способен его расшифровать. Для обеспечения анонимности:

                      Система рассылает все сообщения на компьютеры всех других доступных участников сети[3],
                      тем самым перемешивая зашифрованные исходящие сообщения данного
                      пользователя с зашифрованными исходящими сообщениями всех других
                      пользователей сети.[4][неавторитетный источник? 400 дней][источник не указан 400 дней].

                      Система использует длинные адреса вида BM-BcbRqcFFSQUUmXFKsPJgVQPSiFA3Xash[1][5], которые могут создаваться пользователем локально практически в неограниченном количестве.

                      Система использует алгоритмы шифрования с открытым ключом[4][неавторитетный источник? 400 дней][источник не указан 400 дней], тем самым только получатель может расшифровать сообщение[3].
                      Особенности алгоритма таковы, что даже исходный отправитель сообщения
                      не сможет расшифровать свое собственное сообщение обратно, поскольку
                      ключ, используемый для шифрования, отличается от ключа, используемого
                      для расшифровывания.

                      Отправляемое сообщение не содержит адрес получателя, поэтому каждый
                      участник сети пытается расшифровать абсолютно все сообщения, даже не
                      предназначенные для него[4][неавторитетный источник? 400 дней][источник не указан 400 дней].
                      Поскольку участник сети способен расшифровать только сообщения,
                      предназначенные ему, то участник знает, что сообщения, которые он не
                      смог расшифровать, были предназначены не ему и передает их в
                      зашифрованном виде другим узлам.

                      Отправитель исходного сообщения может легко узнать было ли
                      доставлено сообщение получателю или нет с помощью системы подтверждений
                      (acknowledgement) [4][неавторитетный источник? 400 дней][источник не указан 400 дней],
                      однако, отправитель не может определить, какой именно
                      компьютер-участник сети является истинным получателем сообщения,
                      поскольку это сообщение хранится у всех участников сети вне зависимости
                      от того, кому оно изначально предназначалось[3].

                      Зашифрованные сообщения хранятся в сети два дня[4][неавторитетный источник? 400 дней][источник не указан 400 дней], после чего удаляются участниками сети[3].

                      Используется Proof-of-work для защиты от спама[4][неавторитетный источник? 400 дней][источник не указан 400 дней].

                      Поддерживается привязка Bitmessage-адреса к домену Namecoin.»

                    • Аватар

                      21.03.2015 at 11:47

                      уууу. Мало того, что трафик всех идёт через всех, так ещё 100 человек способны положить сеть, отправив несколько мегабайт текста. Ведь каждый компьютер сети будет всё это расшифровывать. И если сообщения смешиваются, как избежать повторного приёма того же сообщения вместе с другим пакетом от другого пира? Короче, это всё работает до тех пор, пока не стало популярным.

                    • Аватар

                      21.03.2015 at 15:06

                      В bitcoin тот же самый принцип. Хосты отправлял друг другу чат-сообщения. Широковещательно. Только там хосты «рассказывают» другу другу о транзакциях, а здесь люди пишут сообщения. В стандартном bitcoin клиенте тоже есть способ отправки сообщений. Пусть не такой удобный как в bitmessage. Люди постоянно друг с другом переписываются и хосты тоже. Думаю, что есть защита от повторного получения письма. Иначе, случись ddos, лёг бы чат и вся система bitcoin в целом. На вики в ссылках внизу есть спецификация по bitmessage, если вам интересно.

                    • Аватар

                      23.03.2015 at 12:22

                      Думаю, биткойн не мегабайты рассылает. Хотя, в чате тоже могут быть ограничения на размер. А если нет, то кто мешает передать фильм в base64?

            • Аватар

              18.03.2015 at 13:10

              Выложил текст с инструкцией от других шифровальщиков на форуме. В этой же теме. Как пример.

Оставить мнение