Telecrypt:Первая вредоносная программа шифровальщика, использующая популярный мессенджер-Телеграмма

14 Ноя. 2016 г.kate

Новая вредоносная программа файл-шифрования «Telecrypt» была обнаружена с помощью русскоязычных пользователей ранее в этом месяце. Этот вредоносный код нарушения обмена мгновенными сообщениями службы Телеграмма с помощью своего протокола связи для передачи ключа дешифрования атакующим.

telegram rans 2-1

Телеграмма была оскорблена в качестве канала связи мошенниками.

В типичном случае вредоносной программы шифрования файлов, программа Cryptor вставляется в компьютер жертвы для шифрования файлов. В некоторых случаях, мошенники могут послать ключ шифрования в Cryptor и принимать данные от него. Собранная информация будет использоваться для разблокировки зашифрованных файлов, когда выкупы выплачиваются.

Получение данных из Cryptor требует некоторых других услуг, что приводит к дополнительной затрате на разработку. Чтобы избежать дополнительных расходов для связи между вредоносной программой и ее сервером, создатели Telecrypt решают использовать Телеграмму для управления и контроля. И это также первая вредоносная атака шифрования, как известно, использовать Telegram.

Как Telecrypt заражает ПК жертв?

После запуска Telecrypt шифрует файлы жертв, начиная от Word, PDF, Excel, JPG, JPEG, PNG до файлов базы данных (DBF).

Эксперты по безопасности объясняют, «Список зашифрованных файлов сохраняется в текстовый файл ‘% USERPROFILE% \ Desktop \ База зашифр файлов.txt». «Вредонос может добавить расширение’ .Xcri ‘к зашифрованным файлам, но исследователи также нашли файлы с его расширением без изменений.

Несмотря на то что нет никакого дальнейшего выявления того, как этот вредоносная программа вставляется в ПК конечных пользователей до сих пор.Путь инфекции раскрывается, как показано ниже:

  • Перед тем как инфекции, хакерская угроза создает «Телеграмма бот» для последующих сообщений.
  • При первом запуске Telecrypt генерирует ключ шифрования файлов и инфекции ID. Затем он проверяет, если упомянутый «Телеграмма бот» уже существует.
  • После подтверждения, эта вредоносная программа использует общедоступный API Телеграммы, чтобы информировать атаки успешного заражения. Он также отправляет обратно информацию о зараженной системе, включая имя компьютера, инфекции ID и номер, используемый в качестве основы для генерации ключа шифрования файлов.
  • Вредоносная программа ищет жесткий диск жертвы для определенных файлов и шифрует их. Он также информирует нападавших через «Телеграмма бот», когда заканчивает шифрование.
  • Telecrypt загружает исполняемый файл из взломанного сайта WordPressа. Этот графический интерфейс отображает записку с требованием выкупа, и говорит жертве, что произошло и как платить 5,000 руб. ($ 77) через Qiwi или Яндекс.Денег, чтобы получить свои файлы обратно.

telegram_rans__eng_2-2

Эксперты по безопасности предполагают, что жертвы не должны платить выкуп; вместо этого, они должны обратиться к поставщикам решений безопасности для получения справки для файла дешифрования.