Νέος ιός ransomware που απειλεί τους gamers

Το κακόβουλο πρόγραμμα αναζητά αποθηκευμένα παιχνίδια και άλλα αρχεία που βρίσκονται στα μολυσμένα μηχανήματα και τα κρυπτογραφεί.

Το κλειδί που ξεκλειδώνει τα κρυπτογραφημένα αρχεία παρέχεται μόνο εάν τα θύματα πληρώσουν τουλάχιστον 500 δολάρια σε Bitcoins.

Το κακόβουλο λογισμικό απευθύνεται σε 40 ξεχωριστά παιχνίδια, συμπεριλαμβανομένων των Call of Duty, World of Warcraft, Minecraft και World of Tanks.

Το κακόβουλο πρόγραμμα μοιάζει με το πολύ πιο ευρέως διαδεδομένο ransomware Cryptolocker που έχει αλιευθεί από χιλιάδες ανθρώπους τα τελευταία δύο χρόνια.

Όμως, η ανάλυση του κακόβουλου λογισμικού που ονομάζεται Teslacrypt, αποκαλύπτει ότι έχει διαφορετικό κώδικα από το Cryptolocker και φαίνεται να έχει δημιουργηθεί από μια διαφορετική κατηγορία ανθρώπων του κυβερνοεγκλήματος.

Ο ερευνητής Vadim Kotov από την εταιρεία ασφαλείας Bromium είπε πως το αρχείο ξεγελάει τους ανθρώπους μέσω ενός εμπλεκόμενου Wordpress blog το οποίο φιλοξενεί κατά λάθος ένα αρχείο που ανοίγει ένα παράθυρο Flash και μολύνει τους επισκέπτες.

Με το που ένα μηχάνημα μολυνθεί, όπως έγραψε ο κ Kotov, το κακόβουλο λογισμικό αναζητά 185 διαφορετικές επεκτάσεις αρχείων. Συγκεκριμένα, αναζητά αρχεία που σχετίζονται με πολλά δημοφιλή video games και online υπηρεσίες όπως το Steam που δίνει στους ανθρώπους πρόσβαση σε αυτά.

Κάποιος που προσπαθεί να ξεγελάσει το κακόβουλο λογισμικό με την απεγκατάσταση ενός παιχνιδιού που έχει λάβει μέσω κάποιας online υπηρεσίας, μάλλον θα απογοητευτεί.

"Συχνά δεν είναι δυνατή η αποκατάσταση αυτών των δεδομένων, ακόμη και μετά την εκ νέου εγκατάσταση ενός παιχνιδιού μέσω Steam," όπως έγραψε ο ερευνητής.  

Μόλις τα κρυπτογραφημένα αρχεία βρουν το στόχο τους, το κακόβουλο λογισμικό εισέρχεται και αναδύεται ένα παράθυρο που λέει στα θύματά του ότι έχουν λίγες μέρες για να πληρώσουν και να ανακτήσουν τα δεδομένα τους.

Για την αποκρυπτογράφηση, τα θύματα μπορεί είτε να πληρώσουν 500 δολάρια σε Bitcoins ή 1.000 δολάρια μέσω Paypal κάρτας πληρωμής. Ο ιός λέει στα θύματα να στείλουν τα στοιχεία πληρωμής σε μια διεύθυνση που παραπέμπει στο δίκτυο Tor ανώνυμης περιήγησης.

Το σύστημα κρυπτογράφησης που χρησιμοποιείται από την Teslacrypt δεν έχει ακόμα σπάσει και γι’ αυτό τα θύματα θα πρέπει να κάνουν back-up για να αποκαταστήσουν τα κωδικοποιημένα αρχεία.
Πηγή: skai.gr