TeslaCrypt ransomware attacker intensifierar, övergår från spelare till företag

Under de senaste två veckorna har säkerhetsforskare sett en ökning i attacker med ett filkrypterande ransomwareprogram som heter TeslaCrypt, som är känt för att rikta in spelare tidigare.

TeslaCrypt visade sig först i mars och stod ut eftersom över 50 av de 185 filtyperna som den riktade var förknippade med datorspel och relaterad programvara, inklusive spelsparar, anpassade kartor, profiler, replays och mods - innehåll som användare kan ha svårt

I april fann forskare från Cisco en svaghet i TeslaCrypts krypteringsrutin och skapade ett verktyg som kunde dekryptera filer som påverkades av vissa versioner av programmet.

[Vidare Läsning: Så här tar du bort skadlig kod från din Windows-dator]

Sedan dess har ransomware-programmets författare fortsatt att förfina det och började sälja det på den underjordiska marknaden till andra cyberkriminella. Antalet attacker har dock varit relativt lågt fram till slutet av november när säkerhetsforskare från Symantec observerade en signifikant förändring.

Under de senaste två veckorna ökade antalet TeslaCrypt-infektionsförsök som upptäckts av Symantec från cirka 200 per dag till 1800, som föreslår att en cyberkriminalgrupp bryter upp sin användning av detta skadliga program.

Gruppens föredragna infektionsmetod är via spam-e-postmeddelanden med skadliga bilagor. Ämnesrubrikerna för dessa e-postmeddelanden börjar med "ID", följt av ett slumpmässigt nummer och en förfrågan relaterad till påstådda fakturor, framgångsrika order eller banköverföringar.

På grund av dessa ämnen riktar angriparna sig mot företag - en ny trend för ransomware-attacker i allmänhet som drivs av att företag är mer villiga att betala för att återställa viktiga filer.

De skadliga TeslaCrypt-bifogade bilagorna kan innehålla orden "faktura", "doc" eller "info", men de innehåller faktiskt tungt obfuscated JavaScript kod som är utformad för att undvika antivirusdetektering och ladda ner ransomware-programmet.

Om attacken lyckas, krypterar programmet alla filer med en stark krypteringsalgoritm och lägger till .VVV-tillägget till dem. Det kommer också att släppa text- och HTML-lösenordsnoteringar som instruerar offren hur de ska komma åt Tor-värdiga webbplatser för att betala lösenummet.

"Eftersom den här gruppen som använder TeslaCrypt har varit mycket aktiv de senaste veckorna bör företag och konsumenter vara på deras vakt, hålla sina säkerhetsprogram uppdaterade regelbundet och var försiktig när de öppnar e-postmeddelanden från okända källor, säger Symantec-forskarna i ett blogginlägg. "Användare bör också regelbundet säkerhetskopiera filer som lagras på sina datorer. Om en dator äventyras med ransomware, kan dessa filer återställas när skadlig programvara har tagits bort från datorn."