باج‌افزار Telecrypt: باج‌افزاری که از تلگرام سوءاستفاده می‌کند

۱۱محققان اخیراً باج‌افزار جدیدی را کشف و آن را Telecrypt نام‌گذاری کرده‌اند. این باج‌افزار جدید از پیام‌رسان تلگرام برای ارتباطات دستور و کنترل خود استفاده می‌کند و همچنین اجازه می‌دهد قربانیان از طریق تلگرام با مهاجم در ارتباط باشند.

این بدافزار با نام Trojan-Ransom.Win۳۲.Telecrypt توسط محققان آزمایشگاه کسپرسکی کشف شده و معلوم شده که فقط کاربران در روسیه را هدف قرار داده است. این گروه باج‌افزاری برای اینکه سرویس جدید ارتباطی برای خودشان طراحی نکنند از پروتکل ارتباطی تلگرام سوءاستفاده کرده‌اند.

این تروجان نوشته‌شده با دلفی، در مرحله‌ی اول که اجرا شد، یک کلید رمزنگاری و شناسه‌ی آلودگی تولید می‌کند. در ادامه این بدافزار یک بات تلگرام ایجاد کرده و از طریق API تلگرام به مهاجمان اطلاع می‌دهد که آلوده کردن قربانی با موفقیت انجام شد. همچنین اطلاعاتی همچون شماره گفتگو، نام رایانه، شناسه‌ی آلودگی و مقدار اولیه مربوط به کلید رمزنگاری را برای مهاجم ارسال می‌کند.

پس از اینکه بدافزار اطلاعات مربوط به دستگاه ِ آلوده را جمع‌آوری کرد، بر روی درایو سخت به دنبال پرونده‌های خاصی گشته و آن‌ها را رمزنگاری می‌کند. در برخی نمونه‌ها مشاهده شده که باج‌افزار به انتهای پرونده‌های رمزنگاری‌شده پسوند Xcri. را اضافه کرده است ولی در برخی موارد هم پسوند خود پرونده دست‌نخورده باقی مانده است.

وقتی پرونده‌ها رمزنگاری شدند، بدافزار یک پرونده‌ی اجرایی را از یک وب‌گاه وردپرس آلوده بارگیری می‌کند. این ماژول بارگیری‌شده که مهاجمان به آن «اطلاع‌دهنده» نیز می‌گویند، پیغام باج‌خواهی را به قربانی نمایش می‌دهد و برای برگرداندن پرونده‌ها ۷۷ دلار باج درخواست می‌کنند. این باج می‌تواند از طریق سرویس پرداخت روشی مانند Qiwi یا Yandex.Money پرداخت شود.

صفحه‌ای که در آن پیام باج‌خواهی نمایش داده می‌شود دارای یک بخش متنی نیز هست که از طریق آن قربانیان می‌توانند با مهاجم در ارتباط باشند. این بخش نیز از سرویس‌های تلگرام سوءاستفاده می‌کند.
باتوجه به پیغام باج‌خواهی که خیلی بد نوشته شده و سایر جنبه‌ها، محققان حدس می‌زنند نویسندگان این باج‌افزار خیلی حرفه‌ای نیستند. همچنین این باج‌افزار از رمزنگاری خیلی ساده استفاده می‌کند که محققان آزمایشگاه کسپرسکی در تلاش هستند تا به راحتی آن را بشکنند. محققان به قربانیان Telecrypt توصیه کرده‌اند تا باج را پرداخت نکنند و در عوض با گروه پشتیبانی کسپرسکی تماس بگیرند تا به آن‌ها کمک کنند.

آزمایشگاه کسپرسکی یک از اولین شرکت‌های امنیتی است که در اقدام NoMoreRansom شرکت کرده و در تلاش است ابزارهای رایگان برای رمزگشایی پرونده‌ها که با باج‌افزارهای مختلف رمزنگاری شده‌اند، ارائه کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter