Telecrypt ransomware es un nuevo malware que abusa del servicio de mensajería instantánea telegrama para comando y control (C & C) de comunicaciones.
Los expertos en seguridad de Kaspersky Lab han descubierto un nuevo ransomware, llamados Telecrypt (Trojan-Ransom.Win32.Telecrypt), que abusa del servicio de mensajería instantánea de telegramas para las comunicaciones con el mando y control (C & C).
El troyano escrito en Delphi, que actualmente está orientada únicamente a los usuarios de Rusia, explota el protocolo de comunicación del telegrama Messenger para enviar una clave de descifrado a los atacantes.
Una vez infectado un equipo, Telecrypt ransomware genera una clave de cifrado de archivos y un ID de infección. Se crea un bot de telegramas y explota la API de telegramas para enviar datos de la infección a la infraestructura C & C.
Telecrypt notifica al éxito de la infección con el C & C de devolver los datos relacionados con el equipo afectado (es decir, el número de chat, nombre del equipo, identificación de la infección, y la semilla de la clave de cifrado).
"El troyano envía una petición a la URL https://api.telegram.org/bot/GetMe , donde token el identificador único del bot Telegrama, creado por los delincuentes, se almacena. De acuerdo con la documentación oficial de la API, el método 'getme' ayuda a comprobar si un bot con el símbolo especificado existe y se entera de información básica sobre el tema. El troyano no utiliza la información sobre el bot que devuelve el servidor. " Segun el análisis publicado por Kaspersky.
El ransomware Telecrypt entonces encripta los archivos con archivos específicos en las unidades locales. Los investigadores notaron el ransomware veces utiliza la extensión .Xcri para los archivos cifrados, de lo contrario no lo cambia.
Una vez que se haya completado el proceso de cifrado del Telecrypt troyano descarga un archivo ejecutable desde un sitio web de WordPress comprometido que muestra la nota de rescate de las víctimas. El ransomware pide a las víctimas 5.000 RUB ($ 77) para recuperar los archivos cifrados, ladrones aceptan pagos mediante Qiwi o Yandex Money.
"A continuación, el troyano descarga el módulo adicional Xhelp.exe (URL: http : //***.ru/wp-includes/random_compat/Xhelp.exe) desde un lugar comprometido creados con WordPress, y lo lanza. Este módulo, llamado "Informador" ( 'Информатор' en el original ruso) por los delincuentes, tiene una interfaz gráfica e informa a la víctima sobre lo que ha sucedido, y plantea la petición de rescate. El rescate es de 5.000 RUB que es aceptada a través de Qiwi métodos de pago o Yandex.Money. ", Segun por Kaspersky.
La página de rescate también permite que las víctimas puedan comunicarse con los ladrones abusando del servicio de telegramas.
Fecha actualización el 2021-11-11. Fecha publicación el 2016-11-11. Categoría: Malware. Autor: Oscar olg Mapa del sitio