3 февраля 2020 4272

Деньги рекой. В 2015 году появился вымогатель TeslaCrypt

В февраля 2015 года появился троян TeslaCrypt. За несколько месяцев хакеры заработали почти 80 тысяч долларов, а к 2016 году доля TeslaCrypt среди всех программ-вымогателей достигла 48%. За время работы вируса 163 человека перевели деньги мошенникам.

Чаще всего вымогатель использовал эксплойт для Adobe Flash. Чтобы «подхватить» вирус пользователю нужно было просто зайти на скомпрометированный сайт. Также TeslaCrypt использовал уязвимости в устаревших версиях Java, Acrobat Reader и Windows.


TeslaCrypt был первым вымогателем, который выбирал файлы популярных видеоигр. Программа искала расширения, связанные с 40 различными играми, включая серию Call of Duty, World of Warcraft, Minecraft и World of Tanks. Однако вымогатель отлично справлялся и с шифрованием обычных файлов — doc, pdf, jpeg и других. Чтобы пользователь не мог «откатить» систему назад и вернуть данные, вирус удалял резервные копии Windows.


TeslaCrypt атаковал самые популярные платформы — Windows XP, Windows Vista, Windows 7 и Windows 8. Когда вирус попадал на компьютер, он создавал файл с произвольным именем в папке %AppData%. После этого программа сканировала все диски, включая съемные, и даже папки облачного хранилища DropBox. Найдя файл с нужным форматом, зловред добавлял к нему новое расширение — .ecc, .ezz, .exx и другие. При этом он не трогал файлы, которые весили больше 268 Мб.


После шифровки TeslaCrypt выводил инструкцию, как вернуть файлы. В записке с требованием выкупа находился адрес сайта, на который можно было зайти по прямой ссылке, через прокси-сервер Tor2web или с помощью анонимного браузера Tor. На сайте мошенники подробно рассказывали условия возврата данных, сумму выкупа и как перевести деньги.


Чтобы убедить пользователя, что файлы еще можно спасти, киберпреступники разрешали дешифровать один файл бесплатно. К тому же на сайте была страница поддержки, на которой хакеры предлагали «помощь» при каких-то вопросах. Кто-то писал гневные сообщения мошенникам, кто-то просил уменьшить сумму выкупа — иногда злоумышленники шли на встречу и снижали сумму.


Выкуп варьировался от 300 до 500 долларов, но для анонимности хакеры использовали биткоины. У каждой жертвы был свой платежный адрес. Кстати, TeslaCrypt — первый вымогатель, который начал принимать карты PayPal My Cash, но выкуп для этого способа был больше, около 1 000 долларов. Удивительно, но после оплаты хакеры действительно высылали уникальный ключ для расшифровки файлов.


В мае 2016 года исследователь ESET притворился жертвой вируса и написал мошенникам в «службу поддержки». В письме эксперт попросил создателей вымогателя дать главный ключ расшифровки. Надежды было мало, но киберпреступники согласились и разместили его на сайте TeslaCrypt. Через несколько дней ESET выпустила бесплатную утилиту для расшифровки всех пострадавших компьютеров.

Комментарии

3
Оставьте комментарий!
Maxim Bem 27 марта 2020 в 20:47 #
не особо интресно
Maxim Bem 27 марта 2020 в 20:47 #
так себе статья
1 июня 2020 в 12:56 #
Через несколько дней ESET выпустила бесплатную утилиту для расшифровки всех пострадавших компьютеров.
на самом деле универсальная утилита выпущена была только для последних версий Teslacrypt: 3, 4+. (.xxx, .ttt, .micro, .mp3 и без расширения) Для первых версий 1,2 с шифрованием .ecc, .ezz, .exx и далее, до vvv данная утилита не может выполнить расшифровку.