Malwarebytes
Ransomware che abusa della Telegramma app di API è stato fermato nella sua tracce, solo alcune settimane dopo la scoperta.
Il malware, TeleCrypt, è tipico ransomware in modo che il codice dannoso opera. Se di lingua russa vittime accidentalmente eseguire il software, potenzialmente attraverso il download pericolosi o attacchi di phishing — TeleCrypt codifica di un sistema e lanciare una pagina di avviso ricattando l’utente a pagare un ‘riscatto’ per recuperare i propri file.
In questo caso, le vittime sono di fronte a una domanda di 5.000 rubli ($77) per i “Giovani Programmatori Fondo.”
Malwarebytes
Tuttavia, il malware ha anche aspetti insoliti, come l’uso e l’abuso di Telegramma Messenger protocollo di comunicazione utilizzato per inviare le chiavi di decodifica per la minaccia attore, che, secondo la Lista Sicura, sembra essere il “primo cryptor di utilizzare il Telegramma protocollo di crittografia malware caso.”
Mentre cryptors di mantenere offline di crittografia o non, questo Trojan sceglie di. Al fine di mantenere le linee di comunicazione tra la minaccia attore e ransomware di nascosto e protetto, sicuro canali bisogno di essere creato-e questo spesso aumenta il costo di sviluppo di malware.
Per ovviare a questi costi, TeleCrypt abusi pubblicamente disponibili Telegramma Bot API operando come un bot che genera un unico token inserito il malware corpo in modo che il Trojan è in grado di utilizzare il Telegramma di API.
Utilizzando questo canale, piuttosto che mantenere la comunicazione tra l’operatore del centro di comando e controllo (C&C) più di semplici protocolli basati su HTTP, comunemente usato da molti ransomware varianti, la sicurezza è migliorata a rintracciare l’operatore è più difficile.
“TeleCrypt utilizza il Telegramma di API per l’invio di informazioni sulle vittime di ransomware creatore e per inviare informazioni,” Malwarebytes ricercatore Nathan Scott. “Questo modo di comunicazione è molto particolare, è uno dei primi ad utilizzare un normale client di messaggistica API, invece di un server C&C, per inviare comandi e ricevere informazioni.”
Tuttavia, il ransomware contiene anche un grave difetto. Telecrypt consente di crittografare i file scorrono in un byte alla volta, quindi la semplice aggiunta di un byte dalla chiave in ordine, come notato da Scott, e come tale, questo semplice metodo di crittografia fatto il compito di creare un applicazione di decrittografia più facile per i ricercatori.
L’esperto di sicurezza è stato in grado di sviluppare rapidamente un strumento di crittografia che permette alle vittime di recuperare i propri file senza pagare. Tuttavia, è necessaria una versione non cifrata di un file bloccato per agire come un esempio per generare un lavoro chiave di decodifica .
Più notizie di sicurezza
Catastrofico botnet per distruggere le reti di social media nel 2017
DoD, HackerOne kick off Hack Esercito bug bounty sfida
BANCOMAT hack in più di una dozzina di’ paesi Europei 2016: Gruppo IB
Windows 10 suggerimento: Mantenere il vostro account Microsoft sicuro con 2-fattore di autenticazione