Un nou ransomware, care pretinde a fi un derivat al infamului CryptoLocker, circula la scara larga si este conceput pentru a cripta o gama larga de fisiere stocate pe sistemele infectate, inclusiv fisierele cu salvari din jocuri video.
Noua amenintare, numita “TeslaCrypt”, a fost detectata pentru prima data de cercetatorii de la firma de securitate Emsisoft, la sfarsitul lunii februarie. Malware-ul nu pare a avea nimic in comun cu CryptoLocker, dar hackerii incearca sa profite de pe urma notorietatii sale.
Cercetatorii de securitate au analizat malware-ul si au descoperit ca acesta este distribuit prin intermediul unui website WordPress compromis si configurat pentru a redirectiona vizitatorii catre o pagina web malware, conceputa pentru a identifica prezenta unui antivirus pe calculatorul infectat. Dupa aceea descarca ransomware-ul prin exploatarea unei vulnerabilitati din Flash Player (care a primit patch de la Adobe in ianuarie) sau din Internet Explorer.
Odata ce infecteaza un sistem, malware-ul informeaza victimele ca fotografiile, clipurile video si documentele le-au fost criptate. Spre deosebire de alte ransomware-uri, TeslaCrypt cripteaza si fisiere asociate cu jocuri video, inclusiv Call of Duty, Diablo, Fallout, Minecraft, Warcraft, FEAR, Assassin Creed, Resident Evil, World of Warcraft, League of Legends si World of Tanks.
In plus fata de datele de profil, salvari, mods si harti din jocuri, ransomware-ul cripteaza si fisierele asociate cu platforma STEAM si cu softuri de dezvoltare jocuri, cum ar fi Unity3D, Unreal Engine si RPG Maker. Malware-ul vizeaza in total 185 de extensii de fisiere, inclusiv fisiere iTunes.
Cercetatorii de la Webroot au remarcat ca victimelor li se ofera posibilitatea de a decripta gratuit cateva fisiere, prin apasarea unui buton “Free Decryption”. Cu toate acestea, dupa ce butonul este apasat, utilizatorii sunt redirectati catre un site care le cere sa plateasca 1,5 Bitcoini (aproximativ 415 dolari) sau 1.000 dolari, prin PayPal, pentru a-si recupera toate fisierele criptate.