Шифровальщики используют Telegaram

Для защищенного общения со своим зловредом киберпреступники начали использовать популярный мессенджер, что во многом упростило им жизнь.

Специалисты из «Лаборатории Касперского» обнаружили новый вид троянца шифровальщика, который нацелен на русскоязычного пользователя и для коммуникации со своим владельцем использует Телеграмм. Стоит отметить тот факт, что ранее в коде троянцев использование протокола Телеграмм они не встречали.

Для того что бы шифровальщик мог успешно отработать на ПК жертвы, нужен интернет что бы передать злоумышленникам уникальный ключ, но он должен передаваться по защищенному каналу, а это требует больше знаний и  финансовых затрат. Киберпреступники не стали тратится и просто начали использовать протокол популярного мессенджера.

Как стало известно, троянец написан на языке программирования Delphi, а его размер составляет 3 мб, после того как он попадает на устройство жертвы он генерирует уникальный ключ шифрования, после чего используя API Telegram Bot связывается с хакерами отправляя им сообщение о том, что он начал работать на таком-то ПК.

После отправки сообщения о начале работы он начинает побайтно шифровать файлы пользователя простым алгоритмом, иногда меняя расширение файлов на ( . Xcri), после того как он зашифрует все доступные файлы, он рапортует своим создателям о завершении работы. Затем, зловред скачивает с зараженного сайта модуль информатор, который требует выкуп за расшифровку в сумме 5000 рублей, которые предлагает перевести на Яндекс.Деньги или Qiwi

Продукты «Лаборатории Касперского» детектируют этого зловреда как Trojan-Ransom.Win32.Telecrypt.

Защитите свои файлы совершенно бесплатно при помощи Kaspersky Internet Security 2017