Malwarebytes
Ransomware som missbrukar Telegram app API har stoppats i dess spår bara några veckor efter upptäckten.
Malware, TeleCrypt, är typiska ransomware på det sätt som den skadliga koden fungerar. Om rysktalande offer råkar köra och köra programvara — potentiellt genom skadliga nedladdningar eller nätfiske — TeleCrypt kommer att kryptera ett system och kasta upp en varning sida utpressning användaren till att betala en “lösen” för att hämta sina filer.
I detta fall är offren inför en efterfrågan för 5000 rubel ($77) för “Unga Programmerare Fonden.”
Malwarebytes
Men den malware också ovanlig aspekter, såsom användning och missbruk av en Telegram Budbärare meddelande protokoll för att skicka dekryptering nycklar till hot skådespelare, som enligt Säkra Lista, verkar vara den “första cryptor att använda Telegram protokollet i en kryptering malware fall.”
Medan cryptors antingen behålla offline kryptering eller inte, denna Trojan väljer att. För att hålla kommunikationslinjer mellan hot skådespelare och ransomware dold och skyddad, trygg-kanaler måste skapas — och detta ökar ofta kostnaden för utvecklingen av skadlig programvara.
För att kringgå dessa kostnader, TeleCrypt missbruk av den allmänt tillgängliga Telegram Bot API genom att fungera som en bot som genererar unika symboler som sätts in skadlig kod i kroppen så det Trojanska kan använda Telegram API.
Genom att utnyttja denna kanal i stället för att upprätthålla kommunikationen mellan förarens kommando och kontroll center (C&C) över enkelt HTTP-baserat protokoll som ofta används av många ransomware varianter, ökad säkerhet och spårning operatören är svårare.
“TeleCrypt använder TeleGram API för att skicka information om sina offer till ransomware skapare och för att skicka information tillbaka,” Malwarebytes forskare Nathan Scott säger. “Detta sätt att kommunicera är mycket unika-det är en av de första att använda en vanlig messaging-klient API, istället för ett C&C-server för att skicka kommandon och få information.”
Dock ransomware innehåller också en stor brist. Telecrypt krypterar filer genom att loopa igenom dem en enda byte i taget, och sedan helt enkelt lägga till en byte-tangenten för att, som framgår av Scott, och som sådan, denna enkla metod för kryptering som gjorts i uppgift att skapa en dekryptering ansökan lättare för forskare.
Säkerheten specialist har varit i stånd att snabbt kunna utveckla en dekryptering verktyg som gör det möjligt för offren att återställa sina filer utan att betala upp. Dock, du behöver en osäker version av en låst fil för att fungera som ett prov för att skapa en fungerande dekrypteringsnyckeln .
Mer säkerhet nyheter
Katastrofala botnet för att krossa social media-nät år 2017
DoD, HackerOne kick off Hacka Armén bug bounty utmaning
ATM hack i ” mer än ett dussin Europeiska länder 2016: Grupp IB
Windows-10 tips: Håll ditt Microsoft-konto med 2-faktors autentisering