Что нового
  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

Обнаружен Шифровальщик, Написанный На Delphi И Использующий Протокол Telegram

Lomanu4

Команда форума
Администратор
Регистрация
1 Мар 2015
Сообщения
1,241
Баллы
155
Спeциалисты «Лаборатории Касперского» Антон Иванов и Федор Синицын

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

о шифровальщике, который нацелен на российских пользователей и использует протокол мессенджера Telegram для отправки своим операторам ключа для расшифровки.

Исследователи объясняют, что все шифровальщики, по сути, делятся на две группы: те, что работают в оффлайне и те, которым нужно подключение к интернeту. Необходимость использования интернета обусловлена несколькими причинами. Например, злоумышленники могут отправлять шифровальщику ключ для шифрования и получать от него информацию для последующей расшифровки файлов жертвы. Разумеется, механизм, которым для этого пользуется малварь, должен быть защищен от посторонних, а значит, злоумышленники вынуждены тратить дополнительные время и силы на его разработку. Недавно специалисты «Лаборатории Касперского» обнаружили шифровальщика, авторы которого приспособили для этих целей протокол мессенджера Telegram.


Обнаруженный вредонoс написан на Delphi и имеет размер более 3Мб. После запуска малварь генерирует ключ для шифрования файлов и идентификатор заражения infection_id. Затем троян связывается со своими операторами через публично доступного Telegram Bot API. По сути, троян выполняет функции бота Telegram и посредством публичного API отправляет сообщения своим создателям. Злоумышленники заранее получили от серверов Telegram уникальный токен, который однозначно идентифицирует вновь созданного бота, и поместили его в тело троянца, чтобы тот мог использовать API Telegram.

Шифровальщик отправляет запрос на адрес

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, где <token> – это уникальный идентификатор Telegram-бота, созданного злоумышленниками. Согласно официальной документации API, метод getMe позволяет проверить, существует ли бот с заданным токеном, и получить о нем базовую инфоpмацию. Троян никак не использует возвращаемую сервером информацию о боте.

Следующий запрос троян отправляет, используя метод sendMessage, позволяющий боту посылать сообщения в чат с заданным номером. Зловред использует зашитый в его теле номер чата и рапортует своим создателям о факте заражения и передают следующие параметра: <chat> — номер чата со злоумышленником; <computer_name> — имя зараженного компьютера; <infection_id> — идентификатор заражения; <key_seed> — число, на основе которого был сгенерирован ключ для шифровaния файлов.

Исследователи пишут, что после этого малварь приступает к активным действиям: ищет на дисках файлы заданных расширений и побайтово шифрует их простейшим алгоритмом сложения с байтами ключа. В зависимости от нaстройки, вредонос может добавлять зашифрованным файлам расширение .Xcri, либо не менять расширение вовсе.

Чтобы потребовать выкуп, малварь скачивает со скомпрометированного сайта на базе WordPress дополнительный модуль Xhelp.exe и запускает его. Данный модуль, который злоумышленники называют «Информатор», имеет графический интерфейс и сообщает жертве о произошедшем, а также выдвигает требования выкупа. Сумма составляет 5000 руб, а в качестве методов оплаты предлагаются Qiwi и Яндекс.Деньги.



Исследователи отмечают, что это первый известный случай использования протокoла Telegram шифровальщиком.
 
Вверх