I videogiocatori stanno affrontando una nuova minaccia informatica che di fatto sequestra i file dei loro giochi e chiede un riscatto per liberarli e per farli tornare in loro possesso. Questa nuova minaccia di tipo crypto-ransomware si chiama TeslaCrypt e prende di mira oltre 50 estensioni di file legati a videogiochi (compresi quelli di Steam), DLC, salvataggi e software di sviluppo, sequestrandoli e chiedendo un riscatto in denaro da effettuare entro tre giorni.

Anche se la finestra che appare una volta infettati da TeslaCrypt (immagine sotto) può sembrare identica a quella di CryptoLocker, in realtà è solo un tentativo di sfruttare l’ormai triste notorietà di questo tipo di attacchi informatici.

tesla 3

Anche se TeslaCrypt prende di mira quasi 200 estensioni di file riguardanti documenti, foto, CAD e iTunes, l’esperto in sicurezza Vadim Kotov di Bromium Labs ammette che questo attacco è specializzato soprattutto nei videogiochi, con numeri mai visti prima su questo versante. Bromium Labs ha pubblicato una lista completa dei giochi e dei tool di sviluppo colpiti da TeslaCrypt.

Giochi in singolo: Call of Duty, Star Craft 2, Diablo, Fallout 3, Minecraft, Half-Life 2, Dragon Age: Origins, The Elder Scrolls and specifically Skyrim related files, Star Wars: The Knights Of The Old Republic, WarCraft 3, F.E.A.R, Saint Rows 2, Metro 2033, Assassin’s Creed, S.T.A.L.K.E.R., Resident Evil 4 e Bioshock 2.

Giochi online: World of Warcraft, Day Z, League of Legends, World of Tanks e Metin2.

Gaming Software: Steam

Game Development Software: RPG Maker, Unity3D e Unreal Engine

Sempre secondo Kotov “criptare tutti questi giochi (molti dei quali sono degli assoluti bestseller), dimostra chiaramente un’evoluzione degli attacchi crypto-ransomware, che ora mirano anche a nuove fasce di utenti. Molti “giovani adulti” potranno anche non avere documenti cruciali o codici sorgenti nei loro PC, ma quasi sicuramente hanno un account Steam con qualche gioco e un account iTunes con centinaia se non migliaia di canzoni. Anche chi non è appassionato di videogiochi può trovarsi in forte disaggio di fronte a un simile attacco se ci vanno di mezzo anche dati personali”.

I file videoludici colpiti da TeslaCrypt sono essenzialmente salvataggi, mappe, mod e altri tipi di file legati al profilo utente e il più delle volte non è possibile recuperarli nemmeno reinstallando i giochi colpiti tramite Steam. Bromium Labs ha ammesso di non aver mai visto prima un ransomware specializzato in videogiochi, anche se Bleeping Computer ha annunciato la scoperta di TeslaCrypt il mese scorso,

Kotov ha spiegato che tutto nasce da un sito basato su WordPress e da un exploit di Flash e che, una volta che il PC è stato infettato, TeslaCrypt scansiona tutti i drive, cripta i file e rimpiazza lo sfondo del desktop con la finestra mostrata poco sopra, che tra le altre cose chiede alla vittima di installare Tor per eseguire il pagamento e liberare così i file sequestrati. Qui sotto invece riportiamo tutti i tipi di file presi di mira da TeslaCrypt.

tesla 2

Come si può vedere nell’immagine sottostante, il metodo di pagamento preferito da TeslaCrypt è quello dei bitcoin e più precisamente 1.5 bitcoin, ovvero circa 430 dollari al momento di scrivere. In alternativa i file possono essere sbloccati pagando 1.000 dollari tramite PayPal My Cash Card. TeslaCrypt permette di decriptare un file gratuitamente come prova e per la vittima del sequestro dei file c’è addirittura la possibilità di comunicare con gli sviluppatori di questo malware tramite un apposito sistema di messaggistica.

tesla 1

Consigliare le persone a non pagare il riscatto è sempre facile quando non sono i nostri file a essere tenuti in ostaggio, ma non si dovrebbe mai pagare comunque. Bromium consiglia di fare spesso un backup dei file e di salvarli in dischi esterni da non collegare al PC quando si è online. Inoltre, anche se non c’è la piena garanzia di recuperare i file, Bleeping Computer consiglia di provare un restore con Shadow Explorer o con uno strumento di recupero file come R-Studio, Photorec o Recuva.