تغییر شیوه رمزنگاری فایل‌ها در نسخه جدید بدافزار TeslaCrypt

نسخه جدید ابزار اخاذی قدرتمند TeslaCrypt قابلیت‌های جدیدی پیدا کرده که از جمله قدرت رمزنگاری بالاتر و امکان شبیه‌سازی بدافزار CryptoWall است.

[separator type=’transparent’ color=” thickness=” up=’4′ down=’4′]

TeslaCrypt بدافزاری برای اخاذی از کاربران است که مدت زیادی از انتشار آن نمی‌گذرد و برپایه بدافزار CryptoLocker طراحی شده است. اما ویژگی منحصر به فرد TeslaCrypt آن است که پلتفرم‌ بازی‌های کامپیوتری و سایر فایل‌های رایج را هدف قرار می‌دهد. نسخه ۲٫۰٫۰ این بدافزار که به‌تازگی به‌وسیله متخصصان کسپرسکی کشف شد دیگر از یک GUI معمولی برای نمایش پیام‌های هشدار درباره رمزنگاری شدن فایل‌ها استفاده نمی‌کند و در عوض یک صفحه اینترنتی را با پیام هشداری مستقیما از CryptoWall روی مرورگر کاربران بارگذاری می‌کند.

[separator type=’transparent’ color=” thickness=” up=’4′ down=’4′]

به اعتقاد کارشناسان، این تغییر کوچک ممکن است TeslaCrypt را در نظر بسیاری از کاربران تهدیدآمیزتر از آنچه هست نمایش دهد.

فدور سینیتسین یکی از اعضای ارشد کسپرسکی درباره این بدافزار می‌گوید: «این ظاهرسازی برای چیست؟ طراحان TeslaCrypt احتمالا می‌خواهند به قربانیان نشان دهند که قضیه تا چه حد جدیست. مهاجمان می‌خواهند کاربران خیال کنند فایل‌های رمزنگاری شده به‌وسیله TeslaCrypt قابل رمزگشایی نیست، درحالی که این مساله در مورد اکثر آلودگی‌های TeslaCrypt صدق نمی‌کند.»

[separator type=’transparent’ color=” thickness=” up=’4′ down=’4′]

اما در نسخه ۲٫۰٫۰ این ابزار اخاذی سایبری شیوه رمزنگاری داده‌ها دگرگون شده است. TeslaCrypt مانند اغلب ابزارهای اخاذی اطلاعات کاربران را روی دستگاه‌های الکترونیکی رمزنگاری و برای رمزگشایی از کاربران پول طلب می‌کند. واحد پول دلخواه مهاجمان بیت‌کوین بوده و آنها در اخاذی با TeslaCrypt تاکنون حسابی موفق عمل کرده‌اند. به پیش‌بینی کارشناسان، مهاجمان با استفاده از انواع بدافزارهای زیرمجموعه CryptoLocker (از جمله TeslaCrypt) میلیون‌ها دلار در ماه به جیب می‌زنند.

[separator type=’transparent’ color=” thickness=” up=’4′ down=’4′]

محققان راه‌های مختلفی را برای رمزگشایی فایل‌های آلوده و به‌خصوص فایل‌های رمزنگاری شده به‌وسیله TeslaCrypt امتحان کرده‌اند که بعضی از آنها جواب داده است. اما تغییر در شیوه رمزنگاری این بدافزار کار را برای متخصصان سخت کرده است.

[separator type=’transparent’ color=” thickness=” up=’4′ down=’4′]

سینیتسین می‌گوید: «شیوه رمزنگاری TeslaCrypt دوباره ارتقا پیدا کرده و این بار پیشرفته‌تر و پیچیده‌تر از قبل شده است. کلید‌های رمزگشایی به‌وسیله الگوریتم ECDH تولید می‌شوند. مهاجمان سایبری این شیوه را در نسخه ۰٫۳٫x این بدافزار به‌کار گرفتند، اما استفاده از این الگوریتم در نسخه جدید TeslaCrypt توجیه بیشتری دارد، چرا که این شیوه به مهاجمان امکان می‌دهد تمام فایل‌ها را به‌وسیله یک کلید مادر رمزگشایی کنند.

[separator type=’transparent’ color=” thickness=” up=’4′ down=’4′]

«هر فایل با الگوریتم AES-256-CBC رمزنگاری شده و از یکی از مشخصات سیستمی به‌عنوان کلید رمزگشایی استفاده می‌شود. فایل‌های رمزنگاری شده پسوند اضافی zzz دریافت می‌کنند. در مرحله بعد نیز یک service structure به ابتدای فایل و محتوای رمزنگاری شده اضافه می‌گردد.»

[separator type=’transparent’ color=” thickness=” up=’4′ down=’4′]

جالب‌تر آنکه طراحان TeslaCrypt شیوه رمزنگاری به‌کاررفته در نسخه‌های قدیمی‌تر این بدافزار را به‌کلی کنار گذاشته‌اند تا محققان با یک بدافزار اخاذی جدید و متفاوت سر و کار داشته باشند.