Kaspersky Lab descubrio un nuevo ransomware “Telecrypt” “Trojan-Ransom.Win32.Telecrypt”, que abusa de mensajería instantánea de telegram para hacerse del control de las comunicaciones, con el mando y control (C & C). Está escrito en Delphi, y orientada a los usuarios de Rusia, quienes explotan el protocolo de comunicación del telegram Messenger y envian una clave de descifrado a los atacantes.
Telecrypt ransomware luego de infectar genera una clave de cifrado de archivos y un ID de infección. Crea un bot de telegram y exploit de la API de telegram para enviar datos a la infraestructura C & C para mantenerlo informado con datos de la victima. Telecrypt notifica la infección exitosa con el C & C devolviendo el número de chat, nombre del equipo, identificación de la infección, y la semilla de la clave de cifrado).
En el proceso de cifrado Telecrypt descarga un ejecutable desde un WordPress hackeado y muestra el rescate de las víctimas 5.000 RUB ($ 77) para recuperar archivos cifrados, los pagos son con Qiwi o Yandex Money.
Fuente: Kaspersky Lab
Telecrypt ransomware luego de infectar genera una clave de cifrado de archivos y un ID de infección. Crea un bot de telegram y exploit de la API de telegram para enviar datos a la infraestructura C & C para mantenerlo informado con datos de la victima. Telecrypt notifica la infección exitosa con el C & C devolviendo el número de chat, nombre del equipo, identificación de la infección, y la semilla de la clave de cifrado).
“El troyano envía una petición a la URL https://api.telegram.org/botTelecrypt cifra los archivos específicos en las unidades locales. Los investigadores se dieron cuenta que el ransomware utiliza la extensión .Xcri para los archivos cifrados, sino no lo cambia./GetMe, donde el es identificador único del bot Telegram, y creado por los cyber criminales, es almacenado. De acuerdo con la documentación oficial de la API, el método ‘getme’ ayuda a comprobar si un bot con el símbolo especificado existe y se entera de la información básica sobre el tema. El troyano no utiliza la información sobre el bot que devuelve el servidor, puedes leer mas del análisis publicado por Kaspersky.
En el proceso de cifrado Telecrypt descarga un ejecutable desde un WordPress hackeado y muestra el rescate de las víctimas 5.000 RUB ($ 77) para recuperar archivos cifrados, los pagos son con Qiwi o Yandex Money.
“Telecrypt descarga el módulo Xhelp.exe desde un wordpress comprometido (URL: http : //***.ru/wp-includes/random_compat/Xhelp.exe) Este módulo, se llama “Informador” ( ‘Информатор’ en el original ruso) tiene una interfaz gráfica e informa a la víctima del rescate y que ha sucedido con su equipo y sus archivos cifrados. El rescate es de 5.000 RUB que es aceptada a través de Qiwi métodos de pago o Yandex.Money. “, Continúa el informe publicado por Kaspersky.Los expertos de Kaspersky Lab señalan que se trata del primer malware cryptor que utiliza el protocolo de Telegram para encriptar los archivos. Además, insisten en recordarle a las víctimas de este tipo de ataques que no paguen el rescate y que se pongan en contacto con su equipo de soporte para recibir ayuda para descifrar los ficheros.
Fuente: Kaspersky Lab
