Malwarebytes
Ransomware qui abuse du Télégramme application de l’API a été arrêtée dans son élan de quelques semaines seulement après la découverte.
Le malware, TeleCrypt, est typique ransomware dans la façon dont le code malveillant exploite. Si la langue russe victimes exécutez accidentellement et d’exécuter le logiciel, éventuellement par le biais de téléchargements malveillants ou des attaques de phishing — TeleCrypt va crypter un système et de lancer un avertissement à la page du chantage à l’utilisateur à payer une “rançon” pour récupérer leurs fichiers.
Dans ce cas, les victimes sont confrontées à une demande de 5 000 roubles ($77) pour les “Jeunes Programmeurs de Fonds.”
Malwarebytes
Cependant, le malware a aussi des aspects inhabituels, tels que l’utilisation et l’abus de Telegram Messenger, un protocole de communication pour envoyer des clés de déchiffrement à la menace de l’acteur, qui, selon la Liste Sécurisée, semble être le “premier cryptor à utiliser le Télégramme protocole de chiffrement des logiciels malveillants cas.”
Alors que cryptors soit maintenir le chiffrement hors ligne ou pas, ce cheval de Troie choisit de le faire. Afin de garder les lignes de communication entre la menace de l’acteur et ransomware cachées et protégées, des canaux sécurisés doivent être créés — et souvent, cela augmente le coût du développement de logiciels malveillants.
Pour contourner ces coûts, TeleCrypt abus disponibles pour le public Télégramme Bot API comme un bot qui génère des jetons uniques qui sont insérés dans les programmes malveillants du corps de sorte que le cheval de Troie peut utiliser le Télégramme de l’API.
En utilisant ce canal, plutôt que de maintenir la communication entre l’opérateur de commande et le centre de contrôle (C&C) sur simple protocoles HTTP, couramment utilisé par de nombreuses ransomware variantes, la sécurité s’est améliorée, et le traçage de l’opérateur est plus difficile.
“TeleCrypt utilise le Télégramme API pour envoyer des informations sur ses victimes à l’ransomware créateur et de les renvoyer de l’information” Malwarebytes chercheur Nathan Scott dit. “Ce mode de communication est très unique, il est l’un des premiers à utiliser un grand client de messagerie de l’API, au lieu d’un serveur C&C, pour envoyer des commandes et obtenir des informations.”
Cependant, le ransomware contient également un défaut majeur. Telecrypt crypte les fichiers en faisant une boucle par un seul octet à la fois, et puis tout simplement l’ajout d’un octet de la clé dans le but, comme l’a souligné Scott, et en tant que telle, cette simple méthode de chiffrement fait la tâche de création d’un décryptage de l’application plus facile pour les chercheurs.
Le spécialiste de la sécurité a été en mesure de développer rapidement un outil de déchiffrement qui permet aux victimes de récupérer leurs fichiers sans avoir à payer. Cependant, vous avez besoin d’une version non chiffrée d’un fichier verrouillé à agir comme un échantillon pour générer un travail clé de déchiffrement .
Plus de nouvelles de sécurité
Catastrophique botnet pour casser les réseaux de médias sociaux en 2017
DoD, HackerOne le coup d’envoi de Pirater l’Armée bug bounty défi
ATM hacks dans “plus d’une douzaine de’ pays d’europe de 2016: Groupe IB
Windows 10 astuce: Gardez votre compte Microsoft sécurisé avec authentification à 2 facteurs