Dupa ce infecteaza computerul, virusul cauta salvarile jocurilor și alte fișiere și le criptează. O cheie pentru a debloca fișierele criptate este furnizata numai în cazul în care victimele accepta să plătească cel puțin 500 dolari, în Bitcoins.
Virusul afecteaza deja 40 de jocuri diferite, inclusiv din seria Call of Duty sau World of Warcraft ori jocuri precum Minecraft sau World of Tanks.
Programul malware pare la prima vedere similar cu Ransomware Cryptolocker, care a infectat mii de utilizatori in ultimii ani, dar analiza virusului, denumit Teslacrypt, arată că de fapt nu utilizeaza niciun cod al Cryptolocker și se pare că a fost creat de un grup diferit.
Cercetatorii de la firma de securitate informatica Bromium au precizat că infectia se realizeaza in unele browsere de internet prin websiteuri compromise, operând ( prin intemediul unui fișier Flash Player ) un iframe, solicitat printr-un javascript ( via ExternalInterface ), apoi, prin acest iframe, o redirectionare către virus. Dupa ce computerul este infectat, virusul caută 185 de extensii de fișiere diferite, în special pe cele asociate cu jocuri video populare și servicii de gaming online, inclusiv Steam.
Fișierele care au legatura cu profilul jucatorilor, hărți, salvări și versiuni modificate de jocuri sunt căutate de către Teslacrypt, iar dezinstalarea si reinstalarea jocului ori eliminarea din sistem a virusului nu rezolvă problema criptarii ( fisierele respective rămân criptate, ba chiar victimele sunt atentionate de atacatori să nu procedeze astfel).
După ce fișierele țintă sunt criptate de către virus, apare o fereastră care anunță victima că are doar câteva zile la dispozitie pentru a plăti sau va pierde definitiv datele. Pentru a decripta fisierele, victimele sunt indrumate să plătească 500 dolari în Bitcoins sau 1000 dolari în Paypal My Cash. Virusul precizeaza victimelor sa trimită detaliile plății către o adresă aflată pe rețeaua de navigare anonimă Tor.
Sistemul de criptare folosit de Teslacrypt nu a fost încă descifrat, singura șansă a victimele de a recupera fisierele respective fiind deocamdata să apeleze la back-up-uri ( daca au astfel de backupuri pe alte medii de stocare, probabil read-only si independente de sistem ).
Mai jos gasiti cateva exemple de jocuri și software ale căror fisiere au fost ținta criptarii virusului :
Call of Duty
Star Craft 2
Diablo
Fallout 3
Minecraft
Half-Life 2
Dragon Age: Origins
The Elder Scrolls si alte fisiere Skyrims
Star Wars: The Knights Of The Old Republic
WarCraft 3
F.E.A.R
Saint Rows 2
Metro 2033
Assassin’s Creed
S.T.A.L.K.E.R.
Resident Evil 4
Bioshock 2
World of Warcraft
Day Z
League of Legends
World of Tanks
Metin2
Diverse jocuri EA Sports, Valve sau Bethesda
Jocuri Steam
Software pentru dezvoltat jocuri ( RPG Maker, Unity3D, Unreal Engine )
Sursa: HDsatelit
