Новость Первый шифровальщик, использующий Telegram


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
В общем случае шифровальщики можно разделить на две группы:

  1. Шифровальщики, которые поддерживают офлайн-шифрование
  2. Шифровальщики, которые не поддерживают офлайн-шифрование
Необходимость использования интернета для шифрования файлов пользователя обусловлена несколькими причинами. Например, злоумышленники могут отправлять шифровальщику ключ для шифрования и получать от него информацию для последующей расшифровки файлов жертвы.

Очевидно, что для получения данных от зловреда на стороне вирусописателя необходим специальный сервис. Данный сервис должен быть защищен от сторонних исследователей, что требует от злоумышленников дополнительных затрат на его разработку.

В этом месяце мы обнаружили нацеленный на российских пользователей шифровальщик, одна из особенностей которого – использование протокола мессенджера Telegram для отправки злоумышленнику ключа для расшифровки.

Это первый известный нам случай использования протокола Telegram шифровальщиками.

Анализ файла
Троянец написан на Delphi и имеет размер более 3Мб. После запуска зловред генерирует ключ для шифрования файлов и идентификатор заражения infection_id.

Далее он связывается со злоумышленниками с помощью публично доступного Telegram Bot API. То есть, по сути, троянец выполняет функции бота Telegram и посредством публичного API отправляет сообщения своим создателям.

Для этого злоумышленники заранее создали «бот Telegram». Они получили от серверов Telegram уникальный токен, который однозначно идентифицирует вновь созданного бота, и поместили его в тело троянца, чтобы он мог использовать API Telegram.

Сначала троянец отправляет запрос на адрес <token>/GetMe, где <token> – это уникальный идентификатор Telegram-бота, созданного злоумышленниками. Согласно официальной документации API, метод getMe позволяет проверить, существует ли бот с заданным токеном, и получить о нем базовую информацию. Троянец никак не использует возвращаемую сервером информацию о боте.

Следующий запрос троянец отправляет, используя метод sendMessage, позволяющий боту посылать сообщения в чат с заданным номером. Зловред использует зашитый в его теле номер чата и рапортует своим создателям о факте заражения:

<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>

Параметры, передаваемые троянцем:
<chat> — номер чата со злоумышленником;

<computer_name> — имя зараженного компьютера;

<infection_id> — идентификатор заражения;

<key_seed> — число, на основе которого был сгенерирован ключ для шифрования файлов.

Когда информация отправлена, зловред ищет на дисках файлы заданных расширений и побайтово шифрует их простейшим алгоритмом сложения с байтами ключа.

telegram_rans_ru_1.png



В зависимости от настройки, троянец может добавлять зашифрованным файлам расширение «.Xcri» либо вообще не менять расширение. Найденный нами образец троянца расширение не меняет. Список зашифрованных файлов сохраняется в текстовом файле %USERPROFILE%\Desktop\База зашифр файлов.txt.

После шифрования троянец отправляет запрос <token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>stop

Все параметры аналогичны предыдущему запросу, но в конце добавлено слово «stop».

Затем зловред скачивает со скомпрометированного сайта на WordPress дополнительный модуль Xhelp.exe (ссылка ) и запускает его. Этот модуль – злоумышленники называют его «Информатор» – имеет графический интерфейс и сообщает жертве о произошедшем, а также выдвигает требования выкупа. Сумма составляет 5000 руб, а в качестве методов оплаты предлагаются Qiwi и Яндекс.Деньги.

telegram_rans_ru_2.png


telegram_rans_ru_3.png


telegram_rans_ru_4.png


Связь жертвы со злоумышленниками осуществляется через поле ввода в интерфейсе «Информатора». Реализована эта функциональность также через отправку Telegram-сообщения с помощью метода sendMessage.

Обилие грамматических ошибок в тексте требований заставляет задуматься об уровне образования авторов троянца. Также привлекает внимание заявление «Спасибо что помогаете фонду юных программистов.»

Заключение
Все продукты «Лаборатории Касперского» детектируют данную угрозу со следующими вердиктами:

Trojan-Ransom.Win32.Telecrypt
PDM:Trojan.Win32.Generic

MD5:

3e24d064025ec20d6a8e8bae1d19ecdb — Trojan-Ransom.Win32.Telecrypt.a (основной модуль)
14d4bc13a12f8243383756de92529d6d — Trojan-Ransom.Win32.Telecrypt.a (модуль-информатор)

Если вы стали жертвой данного шифровальщика, убедительная просьба – не платите злоумышленникам! Обратитесь в нашу службу поддержки, и мы поможем расшифровать ваши файлы.

Источник:
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 164
Репутация
8 292
Интересно глянуть статистику, сколько попалось, сколько заплатили, особенно в рф ?

Реализация интересная, но вот сомниваюсь, что кто-то будет платить...
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Реализация интересная, но вот сомниваюсь, что кто-то будет платить...
Ребята много хотят, как впрочем и более серьёзные владельцы шифровальщиков. Процент вероятности, что в сети попадётся наивный мажор - низок. Начинали бы деятельность с более низкой суммы, может дело бы и пошло.И раз уж тут они рискнули использовать киви и яндекс-кошельки, то прикрутили бы уж и оплату по смс. "Отправьте смс с вашим id на короткий номер..." Стоимость смс 500 р .
Кстати, позавчера правительство рассматривало вопрос об ужесточении закона за киберпреступления в финансовой сфере (считать киберпреступление в финансовой сфере кражей; увеличить наказание за киберпреступления до 5–10 лет лишения свободы). К описанному выше может быть это и не имеет отношения, так как это вымогательство, а не хак какого-нибудь банка, но кто знает что за поправки внесут в законодательство.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
В продолжение темы.
Но долго шифровaльщик не продержался. Специалист Malwarebytes Нейтан Скотт (Nathan Scott) пишет, что TeleCrypt, как оказaлось, использует очень слабое шифрование, благодаря чему его уже удалось взломать.
Исследователь представил в блоге компании, а также опубликовал для раcшифровки файлов. Для работы утилиты нужно сначала определить использованный ключ шифрования, для чего пoнадобится любой зашифрованный файл и его нормальная, незашифровaнная версия. Найти такую можно, к примеру, в почте, сервисах файловой синxронизации или в старых бекапах.
decryptor1.png


P.S.Ну и естественно сам виновник торжества
Trojan-Ransom.Win32.Telecrypt.a
Пасс:111

 
Верх Низ