TeslaCrypt Ransomware

TeslaCrypt Ransomware Beskrivning

TeslaCrypt är en ransomware-infektion som använder AES-kryptering för att kryptera offrens filer. TeslaCrypt kräver sedan att offret betalar en lösen på $ 500 USD i BitCoin eller $ 1000 USD med PayPal My Cash Cards. PC-säkerhetsanalytiker har noterat att TeslaCrypt skiljer sig från andra senaste rasomware-attacker genom att TeslaCrypt bemyndigar offren att betala med ett alternativ till BitCoin, vilket gör det möjligt för TeslaCrypt att nå en bredare potentiell grupp av offer. PayPal My Cash-kort kan köpas i butiker i USA, vilket gör det tydligt att TeslaCrypt är utformat för att attackera främst datoranvändare i USA. Det är dock mer troligt att PayPal kan konfiskera dessa typer av vinster, vilket innebär att TeslaCrypt kräver dubbelt så mycket för dessa typer av betalningar. Detta är en av anledningarna till att dessa attacker inte använder kreditkortsbetalningar eller liknande metoder eftersom dessa skulle vara alldeles för lätta att spåra.

PC-säkerhetsanalytiker har noterat att, till skillnad från andra typer av ransomware, riktar TeslaCrypt specifikt videospelfiler. Många ransomware-trojaner krypterar alla dokumentfiler på offrets dator, allt från ordbehandlingsdokument till bilder. TeslaCrypt ägnar särskild uppmärksamhet åt populära spel som Minecraft, World of Warcraft och Steam. TeslaCrypt kan rikta in sig på mer än femtio olika videospel på offrets datorer. Detta pekar på det faktum att tredje part försöker utnyttja den beroendeframkallande kvaliteten och tidsavbrott som är involverade i dessa spel för att öka sannolikheten för att offren kommer att betala lösen för att få tillbaka tillgången till sina favoritspel. PC-säkerhetsexperter rekommenderar PC-användare att skydda sina maskiner från TeslaCrypt-attacker.

TeslaCrypt Ransomware Trojan tar dina filer som gisslan

TeslaCrypt hotar genom att TeslaCrypt angriper datorer direkt. Till skillnad från PUP: er (potentiellt oönskade program) som kan begränsa sig till att visa irriterande annonser, eller ransomware Winlockers som helt enkelt kan försöka larma oerfarna datoranvändare att tro att deras maskiner har blockerats av en tredje part, krypterar TeslaCrypt offrets filer och håller dem filer för lösensumman tills penningtransaktionen inträffar.

Ransomware, som namnet antyder, innebär att man tar offrets filer som gisslan och håller dem i utbyte mot en lösen. I huvudsak kommer TeslaCrypt att skanna en dator efter filer med populära tillägg som DOC, 7Z, RAR, M4A, etc. Då kommer TeslaCrypt att kryptera filerna med hjälp av en AES-krypteringsalgoritm. Det finns inget sätt att dekryptera dessa filer utan att få den unika dekrypteringsnyckeln, vilket gör dessa typer av attacker särskilt irriterande. Som en del av attacken kommer TeslaCrypt att skapa .TXT-filer med namnet HELP_TO_DECRYPT_YOUR_FILES.txt och ändra offrets skrivbordsbild till en banner som lyder enligt följande:

Dina personliga filer är krypterade!
Dina filer har krypterats säkert på den här datorn: foton, videor, dokument etc. Klicka på "Visa krypterade filer" för att se en fullständig lista över krypterade filer och du kan personligen verifiera detta.
Kryptering producerades med en unik offentlig nyckel RSA-2048 som genererades för den här datorn. För att dekryptera filer måste du skaffa den privata nyckeln.

Kända filer som påverkas av TeslaCrypt:

.7z, .map, .m2, .rb, .jpg, .rar, .wmo, .mcmeta, .png, .cdr, .m4a, .itm, .vfs0, .jpeg, .indd, .wma, .sb , .mpqge, .txt, .ai, .avi, .fos, .kdb, .p7c, .eps, .wmv, .mcgame, .db0, .p7b, .pdf, .csv, .vdf, .DayZProfile,. p12, .pdd, .d3dbsp, .ztmp, .rofl, .pfx, .psd, .sc2save, .sis, .hkx, .pem, .dbfv, .sie, .sid, .bar, .crt, .mdf, .sum, .ncf, .upk, .cer, .wb2, .ibank, .menu, .das, .der, .rtf, .t13, .layout, .iwi, .x3f, .wpd, .t12, .dmp , .litemod, .srw, .dxg, .qdf, .blob, .asset, .pef, .xf, .gdb, .esm, .forge, .ptx, .dwg, .tax, .001, .ltx,. r3d, .pst, .pkpass, .vtf, .bsa, .rw2, .accdb, .bc6, .dazip, .apk, .rwl, .mdb, .bc7, .fpk, .re4, .raw, .pptm, .bkp, .mlx, .sav, .raf, .pptx, .qic, .kf, .lbf, .orf, .ppt, .bkf, .iwd, .slm, .nrw, .xlk, .sidn, .vpk , .bik, .mrwref, .xlsb, .sidd, .tor, .epk, .mef, .xlsm, .mddata, .psk, .rgss3a, .erf, .xlsx, .itl, .rim, .pak,. kdc, .xls, .itdb, .w3x, .big, .dcr, .wps, .icxs, .fsh, .unity3d, .cr2, .docm, .hvpl, .ntl, .wotreplay, .crw, .docx, .hplg, .arch00, .xxx, .ba y, .doc, .hkdb, .lvl, .desc, .sr2, .odb, .mdbackup, .snx, .py, .srf, .odc, .syncdb, .cfr, .m3u, .arw, .odm, .gho, .ff, .flv, .3fr, .odp, .cas, .vpp, _pc, .js, .dng, .ods, .svg, .lrf, .css, .jpe, .odt

TeslaCrypt hävdar att offret bara har tre dagar på sig att göra betalningen och gör det möjligt för offret att bara dekryptera en fil gratis som bevis på att de kan utföra uppgiften. TeslaCrypt kan distribueras med typiska hotleveransmetoder. Detta innebär att användningen av stark säkerhetsprogramvara och vanliga säkerhetsvanor online kan förhindra dessa typer av attacker. Datorsäkerhetsanalytiker rekommenderar starkt att de betalar TeslaCrypt-böterna. Detta uppmuntrar tredje parter och finansierar deras aktiviteter, och datoranvändare kan inte lita på dåliga människor att hålla sitt ord och tillhandahålla dekrypteringsnyckeln. Ibland är det möjligt att återställa vissa filer med Shadow Explorer och andra specialverktyg. Förebyggande och användning av säkerhetskopior utanför webbplatsen för att korrekt återställa krypterade filer är det bästa sättet att hantera ransomware-hot.