全球領先的IT安全廠商——卡巴斯基實驗室檢測到一種最新的威脅，其表現出奇怪的行為，該威脅來自TelsaCrypt勒索軟件家族，是一種惡意的文件加密器。TelsaCrypt感染主要發生在美國、德國和西班牙，其次還包括意大利、法國和英國。這種版本為2.0的最新木馬能夠感染計算機游戲玩家，在瀏覽器顯示一個HTML頁面，該頁面同CryptoWall3.0感染后顯示的頁面完全一樣，而CryptoWall3.0同樣是一款臭名卓著的勒索軟件。網絡罪犯這樣做的目的可能是一種聲明，因為目前很多被CryptoWall加密的文件都無法解密，而過去發生的很多TelsaCrypt感染卻并非如此。成功感染后，惡意程序會要求用戶支付500美元贖金獲取解密密匙，如果受害者沒有及時支付，贖金就會加倍。

最早的TeslaCrypt樣本在2015年2月被檢測到，這款最新的勒索軟件一經發現，就立刻變得臭名卓著，因為其對計算機游戲玩家造成了嚴重的威脅。除了針對其它類型的文件進行攻擊外，這款惡意軟件還會感染典型的游戲文件，包括游戲存檔文件、用戶配置文件以及游戲回放文件等。但是，TeslaCrypt不會對體積大于268MB的文件進行加密。

那么，TeslaCrypt究竟如何感染受害者？卡巴斯基實驗室的研究顯示，其在感染新的受害者時，會生成一個獨特的比特幣地址，用于接收受害者支付的贖金，還聲稱一個用于提取資金的密匙。TeslaCrypt的命令和控制服務器位于Tor網絡中。TelsaCrypt2.0版本使用兩套密匙：一套密匙位于受感染系統中，另一套密匙則會在惡意程序每次在系統重新啟動時生成。不僅如此，加密文件的密匙不會存儲在受害者硬盤上，所以解密用戶文件變得非常復雜。

來自TeslaCrypt惡意軟件家族的惡意程序會通過Angler、SweetOrange和Nuclear漏洞利用程序包進行傳播。在這種惡意軟件傳播機制下，當受害者訪問受感染的網站時，漏洞利用程序的惡意代碼會使用瀏覽器漏洞(通常為插件漏洞)，在受害者計算機上安裝惡意軟件。

對于此次發現的惡意加密軟件，卡巴斯基實驗室高級惡意軟件分析師FedorSinitsyn表示：“TeslaCrypt會針對游戲玩家進行攻擊，欺騙和恐嚇用戶。例如，該惡意軟件的上一版本顯示一條信息，聲稱用戶的文件被采用著名的RSA-2048加密算法進行加密，讓受害者認為只有支付贖金，別無他法。但事實上，網絡罪犯并沒有使用這種加密算法。在最新的版本中，TeslaCrypt會讓受害者誤認為自己被CryptoWall所感染。因為文件一旦被這種惡意軟件加密，是沒有辦法解密的。但是，感染后出現的所有鏈接均指向TeslaCrypt服務器，很顯然，TeslaCrypt的編寫者不會將受害者支付的贖金拱手讓給自己的競爭者。”

目前，卡巴斯基實驗室針對企業與個人用戶的產品已將這種惡意程序檢測為Trojan-Ransom.Win32.Bitman.tk，并且能夠成功保護用戶免受其威脅。此外，卡巴斯基實驗室的解決方案還部署了反惡意加密軟件子系統。當有可疑的應用程序試圖訪問用戶的個人文件時，該子系統會記錄相關行為，并立即對受保護文件創建本地備份。如果應用程序確實是惡意的，該系統會自動利用備份文件回滾非法的更改。這樣，保護用戶抵御未知的惡意加密軟件。

為保護更多用戶免受該威脅，卡巴斯基實驗室建議廣大用戶定期對所有重要的文件進行備份。一旦文件備份拷貝完成，應當將備份文件立刻同計算機斷開。另外，對軟件進行及時更新和升級非常重要，尤其是瀏覽器以及其插件。如果系統被惡意程序感染，最好使用更新過反病毒數據庫以及具有安全模塊功能的最新版安全軟件進行處理。

卡巴斯基實驗室一直致力于保護互聯網用戶，抵御勒索軟件。今年四月，卡巴斯基實驗室同荷蘭的國家高科技犯罪組合作，啟動了勒索軟件解密網站，幫助受CoinVault勒索軟件感染的用戶在無需向網絡罪犯支付贖金的前提下，找回自己的數據。