За шанувальниками онлайнових ігор полює особливий варіант кріптолокера, і історія ця куди серйозніше, ніж здається на перший погляд. Схоже, зловмисники знайшли відмінний спосіб дістати тих, хто готовий платити, аби отримати назад свої дані.

Що приховує тінь. Скріншот гри Bethesda TES V: Skyrim.

довгий проникнення

За словами дослідників, які виявили новий вид шкідливої ​​програми, вона використовує досить складний метод зараження . Точкою входу є якийсь скомпрометований сайт, який перенаправляє користувачів за допомогою шкідливого Flash-кліпу на інший сайт, що містить набір експлойта Angler, який, в свою чергу, підсаджує варіант кріптолокера.

Перший згаданий сайт працює на WordPress і, можливо, був раніше скомпрометований якимось з експлойтів WP, які широко поширилися. WordPress є безкоштовною CMS з модульним дизайном, популярної як у окремих користувачів, так і у підприємств. Не всі плагіни WP безпечні, тому через її популярності хакери досить часто зламують сайти на WordPress.

Слідом на черзі набір Angler. Мабуть, зловмисники вважали за краще готовий, з полички, інструмент, щоб бути впевненими в успіху. Angler також відомий своєю невловимістю. Здається, злочинці зробили все можливе, щоб уникнути ризику ... Або просто не були технічно підковані?

Насправді схоже, що вони знають свою справу досить добре, щоб використовувати нетрадиційні методи ухилення: зловмисники відмовляються від типових перенаправлень iFrame і замість цього використовують Flash-файл, загорнутий в невидимий тег div, ймовірно, щоб уникнути виявлення, передає Threatpost. Далі шкідлива програма здійснює ряд перевірок на предмет наявності віртуальних машин або антивіруса, перш ніж встановити експлойт Flash для CVE-2015-0311 або експлойт Internet Explorer CVE-2013-2551 .

вони заплатять

Сам кріптолокер дуже типовий з поведінки: він шифрує файли, потім відображає банери з вимогою викупу - в біткойнов через Tor. Знову ж, зловмисники намагаються уникнути ризику видати свою інфраструктуру.

Інтерес тут представляє список файлів-мішеней: в ньому присутні розширення файлів, пов'язані з більш ніж півсотнею онлайнових і розрахованих на одного користувача ігр класу ААА, які розповсюджуються через інтернет-системи постачання контенту. Call of Duty, Minecraft, Half-Life 2, Elder Scrolls series (Oblivion, Skyrim, Elder Scrolls Online), Assassin's Creed, World of Warcraft, Day Z і ряд інших ігор виявилися в переліку цілей разом з ігровою платформою Valve Steam.

Банк в онлайновій грі World of Warcraft. Гроші вирішують ...

Кріптолокер шифрує основні файли, завантажений контент і деякі важко-або навіть зовсім невідновні файли на зразок модов, збережених ігор, профілів користувача і т.п. - все те, що хардкорним геймерам дорого, і вони, ймовірно, навіть будуть більш готові розщедритися, ніж інші жертви.

Де гроші лежать

Ігрова індустрія привчила гравців платити не тільки за підписку, але і за додатковий завантажуваний контент, а також за бонусні ігрові предмети, які дозволяють домогтися прогресу швидше. Остання тенденція - відносно нове віяння, але воно ясно вказує на те, що гравці надають цим предметам реальну практичну цінність, конвертовану в реальні гроші.

А цього якраз зловмисникам і треба. Мабуть, автори варіанту «ігрового кріптолокера» добре вибирали мета удару: для хардкорних геймерів ігровий контент важливий, особливо якщо його важко відновити. Таким чином, ймовірність оплати вже стає вищою за середню.

Але цього допускати не можна. Кожен потрапив до злочинців біткойн робить їх не тільки багатшими, а й нахабніше, так як вони бачать віддачу від зусиль і хороший привід не зупинятися на досягнутому.

Геймерам рекомендується регулярно оновлювати неігрове програмне забезпечення, особливо найбільш проблемне, таке як Flash, Java, Microsoft Word і Office і ін., І, звичайно, використовувати високоякісне захисне рішення і резервне копіювання своїх унікальних ігрових даних на зовнішніх носіях, які не використовуються при серфінгу в інтернеті.