Вредоносный Telecrypt для Телеграмм/Telegram
2017-02-02 514 0.0 0

Вредоносная программа «Telecrypt» требует выкуп с пользователей Telegram

Новая вредоносная программа «Telecrypt» была обнаружена с помощью русскоязычных пользователей. Этот вредоносный код используется для нарушения обмена мгновенными сообщениями менеджером Телеграмм (Telegram). И с помощью своего протокола связи передает ключа де шифрования атакующим хакерам. Вредоносная программа «Telecrypt» шантажирует Телеграмм

В самом распространенном случае вредоносная программа шифрования файлов (программа Cryptor) внедряется в компьютер жертвы для шифрования файлов. В некоторых случаях, мошенники могут послать ключ шифрования в Cryptor и принимать данные от него. Собранная информация будет использоваться для разблокировки зашифрованных файлов, после выплаты выкупа.

Получение данных из Cryptor требует некоторых других услуг, что приводит к дополнительной затрате на разработку. Чтобы избежать дополнительных расходов для связи между вредоносной программой и ее сервером, создатели Telecrypt решают использовать Телеграмму для управления и контроля.

Это первая вредоносная атака, с использованием шифрования, на мессенджер Telegram.


Как Telecrypt заражает ПК жертв?

После запуска Telecrypt шифрует файлы жертв, начиная от Word, PDF, Excel, JPG, JPEG, PNG до файлов базы данных (DBF).

Эксперты по безопасности объясняют, «Список зашифрованных файлов сохраняется в текстовый файл ‘% USERPROFILE% \ Desktop \ База зашифр файлов.txt». Вредонос может добавить расширение’ .Xcri ‘к зашифрованным файлам, но исследователи также нашли файлы с его расширением без изменений.

Несмотря на то что пока нет никакого способа обнаружить, как этот вредоносная программа вставляется в ПК конечного пользователя.

Путь инфекции можно проследить, как показано ниже:

Перед тем как вирус проник в компьютер пользователя, хакерская угроза создает «Телеграмм бот» для последующих сообщений.

При первом запуске Telecrypt генерирует ключ шифрования файлов и инфекции ID. Затем он проверяет, наличие упомянутого «Телеграмм бот».

После подтверждения, эта вредоносная программа использует общедоступный API сервиса доставки сообщений Телеграмм (Telegram), чтобы информировать злоумышленников об успешном заражении.

Он (Telecrypt) также отправляет обратно информацию о зараженной системе, включая имя компьютера, ID инфекции и номер, используемый в качестве основы для генерации ключа шифрования файлов.

Вредоносная программа ищет жесткий диск жертвы для определенных файлов и шифрует их. Он также информирует нападавших через «Телеграмм бот», об окончании шифрования.

Telecrypt загружает исполняемый файл из взломанного сайта WordPressа. Этот графический интерфейс отображает записку с требованием выкупа, и говорит жертве, что произошло и как платить 5,000 руб. ($ 77) через Qiwi или Яндекс.Денег, чтобы получить свои файлы обратно.

графический интерфейс с требованием выкупа

Эксперты по безопасности рекомендуют жертвам мошенников не платить выкуп, вместо этого, они должны обратиться к поставщикам решений безопасности для получения справки для файла дешифрования.



360 total security — бесплатный антивирус
Источник


Теги:блог ex-hort.ru, безопасность в интернете, Windows, telegram, пользователям, Хакеры

Читайте также:
Комментарии
Имя *:
Email *:
Код *: