Son zamanlarda doğrudan bilgisayar oyunlarını hedefleyen yeni bir virüs ortaya çıktı. Çalışma yapısı CryptoLocker’a benzeyen TeslaCrypt, Call of Duty, World of Warcraft, World of Tanks ve MineCraft gibi büyük dağıtımlar başta olmak üzere 40’tan fazla oyunun kayıt dosyalarını şifreleyerek oyunculardan yaklaşık 500$ civarında (Bitcoin ile) fidye istiyor.

TeslaCrypt

TeslaCrypt : Çalışma yapısı CryptoLocker’a benzeyen yeni Ransomware

TeslaCrypt nedir?

Her ne kadar çalışma yapısı CryptoLocker’a benzese de aslında tamamen yeni bir virüs ve CryptoLocker ile benzer bir kod yapısı kullanmıyor. TeslaCrypt ile CryptoLocker’ın arkasındaki siber grupların da farklı olduğu tahmin ediliyor. Kısaca yine fidye mantığı ile üretilen, belirli bir konuyu hedef alan son derece zararlı bir “yeni ransomware”

WordPress Blog’u gibi gözüken bir site üzerinden yayılmaya başladı. Site Flash üzerindeki bir açığı kullanan zararlı bir dosya barındırıyor ve bu sayede kullanıcıların sistemine erişiyor. Sisteme bulaştıktan sonra ilk olarak 185 farklı dosya uzantısını kontrol ediyor, daha sonra da Steam gibi popüler oyun uygulamaları ile eşleştirilmiş olan dosyalar üzerinde çalışıyor. Oyuncu profilleri, kayıt dosyaları, haritalar ve oyunlar için yazılan mod dosyaları  şifreleniyor.

Bulduğu dosyaları şifreledikten sonra bilgisayarda bir pop-up açarak kullanıcılara dosyalarını almak için birkaç günleri olduğunu belirten bir yazı gösteriyor. 500$ değerinde Bitcoin ya da 1000$ değerinde Paypal ödemesi ile dosyalarınızın şifresini açabiliyorsunuz.

TeslaCrypt için çözüm var mı ?

Çıktığı ilk günden bu yana asimetrik bir şifreleme yapısı kullandığını ve şifrelemenin kırılamayacağını öne sürüyordu ancak Cisco araştırmacıları simetrik bir şifreleme yapısını fark ettiler ve ilk versiyondaki şifrenin kırılabilir olduğunu belirttiler. Bununla ilgili bir şifre kırma aracı (TeslaDecrypt) yaptılar ve buradaki adreste yayınladılar. Her ne kadar resmi olarak desteklenen bir uygulama olmasa da ilk TeslaCrypt versiyonunda işe yaradığı belirtiliyor.

https://github.com/vrtadmin/TeslaDecrypt/tree/master/Windows 

Şifrenin kırılmasından sonra yayılan yeni TeslaCrypt 2.0 olarak adlandırılıyor ve şifreleme yapısını değiştirmiş durumda. Artık Cisco araştırmacıları tarafından üretilen araç maalesef ki bu sürümün şifresini kıramıyor.