نسخه جدید ابزار اخاذی قدرتمند TeslaCrypt قابلیت‌های جدیدی پیدا کرده است، از جمله قدرت رمزنگاری بالاتر و امکان شبیه‌سازی بدافزار CryptoWall.

TeslaCrypt بدافزاری برای اخاذی از کاربران است که مدت زیادی از انتشار آن نمی‌گذرد و برپایه بدافزار CryptoLocker طراحی شده است. اما ویژگی منحصر به فرد TeslaCrypt آن است که پلتفرم‌های بازی‌های کامپیوتری و سایر فایل‌های رایج را هدف قرار می‌دهد. نسخه 2.0.0 این بدافزار که به‌تازگی به‌وسیله متخصصان کسپرسکی کشف شد دیگر از یک GUI معمولی برای نمایش پیام‌های هشدار درباره رمزنگاری شدن فایل‌ها استفاده نمی‌کند و در عوض یک صفحه اینترنتی را با پیام هشداری مستقیما از CryptoWall روی مرورگر کاربران بارگذاری می‌کند.

به اعتقاد کارشناسان، این تغییر کوچک ممکن است TeslaCrypt را در نظر بسیاری از کاربران تهدیدآمیزتر از آنچه هست نمایش دهد.

فدور سینیتسین یکی از اعضای ارشد کسپرسکی درباره این بدافزار می‌گوید: «این ظاهرسازی برای چیست؟ طراحان TeslaCrypt احتمالا می‌خواهند به قربانیان نشان دهند که قضیه تا چه حد جدیست. مهاجمان می‌خواهند کاربران خیال کنند فایل‌های رمزنگاری شده به‌وسیله TeslaCrypt قابل رمزگشایی نیست، درحالی که این مساله در مورد اکثر آلودگی‌های TeslaCrypt صدق نمی‌کند.»

اما در نسخه 2.0.0 این ابزار اخاذی سایبری شیوه رمزنگاری داده‌ها دگرگون شده است. TeslaCrypt مانند اغلب ابزارهای اخاذی اطلاعات کاربران را روی دستگاه‌های الکترونیکی رمزنگاری و برای رمزگشایی از کاربران پول طلب می‌کند. واحد پول دلخواه مهاجمان بیت‌کوین بوده و آنها در اخاذی با TeslaCrypt تاکنون حسابی موفق عمل کرده‌اند. به پیش‌بینی کارشناسان، مهاجمان با استفاده از انواع بدافزارهای زیرمجموعه CryptoLocker (از جمله TeslaCrypt) میلیون‌ها دلار در ماه به جیب می‌زنند.

محققان راه‌های مختلفی را برای رمزگشایی فایل‌های آلوده و به‌خصوص فایل‌های رمزنگاری شده به‌وسیله TeslaCrypt امتحان کرده‌اند که بعضی از آنها جواب داده است. اما تغییر در شیوه رمزنگاری این بدافزار کار را برای متخصصان سخت کرده است.

سینیتسین می‌گوید: «شیوه رمزنگاری TeslaCrypt دوباره ارتقا پیدا کرده این بار پیشرفته‌تر و پیچیده‌تر از قبل شده است. کلید‌های رمزگشایی به‌وسیله الگوریتم ECDH تولید می‌شوند. مهاجمان سایبری این شیوه را در نسخه 0.3.x این بدافزار به‌کار گرفتند، اما استفاده از این الگوریتم در نسخه جدید TeslaCrypt توجیه بیشتری دارد، چرا که این شیوه به مهاجمان امکان می‌دهد تمام فایل‌ها را به‌وسیله یک کلید مادر رمزگشایی کنند.

«هر فایلی با الگوریتم AES-256-CBC رمزنگاری شده و از session_priv به‌عنوان کلید رمزگشایی استفاده می‌شود. فایل‌های رمزنگاری شده پسوند اضافی zzz دریافت می‌کنند. در مرحله بعد نیز یک service structure به ابتدای فایل و محتوای رمزنگاری شده اضافه می‌گردد.»

جالب‌تر آنکه طراحان TeslaCrypt شیوه رمزنگاری به‌کاررفته در نسخه‌های قدیمی‌تر این بدافزار را به‌کلی کنار گذاشته‌اند تا محققان با یک بدافزار اخاذی جدید و متفاوت سر و کار داشته باشند.

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.