Komunikator Telegram na usługach ransomware

12 grudnia 2016

Telecrypt – niedawno odkryte ransomware swoje ofiary znajduje wśród rosyjskojęzycznych użytkowników, korzysta przy tym z komunikatora Telegram. Podobnie jak większości tego typu sytuacji, oprogramowanie szyfrujące po zainstalowaniu i zaszyfrowaniu danych w systemie ofiary, przesyła do serwera C&C sprawcy pozyskane dane i informacje, w tym klucz deszyfrujący, który po opłaceniu okupu umożliwia odzyskanie plików. Taka transmisja może generować dodatkowe koszty dla szantażysty. Chcąc uniknąć wydatków, twórcy zdecydowali się na wykorzystanie komunikatora Telegram i jak na razie jest to jedyny taki znany przypadek.

Caption

Po zainfekowaniu komputera ofiary, Telecrypt szyfruje pliki tekstowe (doc, pdf), arkusze kalkulacyjne (xls), zdjęcia i inne pliki graficzne (jpg, jpeg, png) do postaci pliku bazodanowego DBF, powstaje również dokument z listą wszystkich zablokowanych plików. Oprogramowanie może również dodać do zaszyfrowanych danych rozszerzenie .Xcri.

Nie jest znana dokładna metoda umieszczania omawianego malware w urządzeniach ofiar, jednakże udało się ustalić pewien schemat działania. Pierwszym krokiem agresora jest stworzenie bota używającego komunikatora Telegram na potrzeby późniejszej komunikacji, następnie Telecrypt generuje klucz szyfrujący, dane identyfikacyjne oraz sprawdza obecność wspomnianego bota. Kolejnym posunięciem jest przesłanie przy pomocy komunikatora informacji o udanym ataku wprost do organizatora procederu.

Po uzyskaniu danych ofiary, malware wykonuje swoją kluczową rolę szyfrując pliki. Po wykonaniu zadania (o czym również informuje swojego twórcę za pośrednictwem komunikatora) pobiera plik wykonywalny, który z kolei zawiadamia poszkodowanego o konieczności uiszczenia opłaty w zamian za odzyskanie utraconych plików.

Szantażysta żąda wpłacenia 5000 rubli (około 77 dolarów) za pomocą Qiwi lub Yandex.Money.

Jak zawsze w podobnej sytuacji eksperci odradzają uleganie tego typu wymuszeniom i zalecają udanie się do specjalistów oferujących pomoc w odszyfrowaniu danych.

Dzięki uprzejmości analityków bezpieczeństwa z firmy Malwarebytes, deszyfrator dostępny jest do pobrania na tej stronie.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Wojciech Stysiek
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ