Шифровальщик TeslaWare играет в русскую рулетку с файлами своих жертв

Александр Панасенко 23 Июня 2017 - 13:12

...

Шифровальщик TeslaWare играет в русскую рулетку с файлами своих жертв

Специалисты компании Emsisoft обнаружили нового вымогателя, TeslaWare, о котором сообщили основателю ресурса Bleeping Computer Лоренсу Абрамсу (Lawrence Abrams), а тот изучил малварь более внимательно.

Абрамс пишет, что в настоящее время TeslaWare активно рекламируется на черном рынке, где продается за 35-70 евро (в зависимости от степени кастомизации). Для рекламы шифровальщика используются красивые постеры, рассказывающие обо всех характеристиках и особенностях малвари. Однако исследователь отмечает, что эти постеры являются более продвинутыми, чем сам вымогатель. Так, разработчики TeslaWare уверяют, что вредонос использует AES-256 шифрование, не обнаруживается антивирусными продуктами и надежно шифрует файлы, и оба последних утверждения ложны, пишет xakep.ru.

Тем не менее, файлы вымогатель действительно шифрует и, хуже того, удаляет. Так, по окончании шифрования TeslaWare отображает экран блокировки сразу с двумя таймерами. Первый таймер, обозначенный пиктограммой револьверного барабана, начинает отсчет с 59 минут. Когда это время истекает, TeslaWare играет в русскую рулетку с информацией пострадавшего, удаляя 10 случайных файлов.

Второй таймер, обозначенный пиктограммой черепа, отсчитывает 72 часа. Если за это время жертва не заплатит выкуп, вымогатель стирает вообще все файлы на диске C:.

Специалист не объясняет, какие именно уязвимости ему удалось выявить в коде вредоноса (так как плохие парни тоже читают Bleeping Computer), но он сообщает, что всю пострадавшую от действий шифровальщика информацию можно восстановить, не выплачивая выкуп. Абрамс рекомендует пострадавшим обращаться в специальную ветку на форуме сайта за получением помощи.

Также Абрамс обнаружил, что шифровальщик обладает несколькими неприятными функциями, которые пока не используются. Так, TeslaWare способен создавать новые сетевые папки на зараженном компьютере, которые операторы малвари могут использовать как точку входа в систему. Также шифровальщик обладает функцией NSpread, которая помогает ему копировать себя во все доступные сетевые папки, также создавая в них файл runme.pif или start.pif. Если пользователь удаленного компьютера запустит эти файлы, TeslaWare атакует и эту машину.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 29 Апреля 2026 - 12:36

Целевые атаки Таргетированные атаки Утечки информации Умышленные утечки информации Кража данных Корпорации

ShinyHunters добрались до данных Vimeo через Anodot

Vimeo сообщила о несанкционированном доступе к данным части пользователей и клиентов. Киберинцидент связан не с прямым взломом самой видеоплатформы, а с недавней атакой на Anodot — сторонний сервис для выявления аномалий в данных.

По предварительным данным Vimeo, злоумышленники получили доступ в основном к технической информации, названиям видео и метаданным.

В некоторых случаях среди затронутых данных также были адреса электронной почты клиентов. При этом компания подчёркивает, что сами загруженные видео, учётные данные пользователей и платёжная информация не пострадали.

Ответственность за атаку взяла на себя группировка ShinyHunters. Она утверждает, что получила доступ к данным из облачных сред Vimeo, включая Snowflake и BigQuery, и пригрозила опубликовать информацию, если компания не заплатит выкуп.

Инцидент с Anodot затронул не только Vimeo. По данным СМИ, злоумышленники похитили токены аутентификации и использовали их для доступа к клиентским средам, прежде всего Snowflake. Среди других пострадавших ранее называли Rockstar Games.

Vimeo уже отключила все учётные данные Anodot и убрала интеграцию сервиса из своих систем. Компания расследует инцидент вместе со сторонними специалистами по безопасности и уведомила правоохранительные органы. Пока работа платформы, по словам Vimeo, не нарушена.

«Кража данных с целью вымогательства сегодня уже не редкость. Особенно опасны такие инциденты для компаний, которые хранят большие объёмы персональных данных клиентов: последствия могут включать репутационные потери, штрафы по 152-ФЗ и судебные иски. Помимо базовых мер защиты — шифрования данных, многофакторной аутентификации и регулярных аудитов безопасности — с начала года мы видим рост интереса к сервисам резервного копирования», — Андрей Кузнецов, генеральный директор ООО «РуБэкап» (входит в «Группу Астра»).

«Важно понимать, что СРК существенно снижают риски, связанные с утечками данных: они помогают избежать полной потери информации после атак и минимизируют необходимость публичного раскрытия инцидентов. Неизменяемые копии защищают бэкапы от вирусов-шифровальщиков и позволяют быстро восстановить данные без выплаты выкупа и дополнительных рисков утечки».

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!