Malwarebytes
Ransomware, die misbruik maakt van het Telegram app API is gestopt in zijn tracks slechts enkele weken na ontdekking.
De malware, TeleCrypt, is typisch ransomware in de weg dat de kwaadaardige code actief is. Als russisch-sprekende slachtoffers per ongeluk uitvoeren en uitvoeren van de software — mogelijk door middel van kwaadaardige downloads of phishing-aanvallen — TeleCrypt zal het coderen van een systeem en gooi een waarschuwing pagina chanteren de gebruiker in het betalen van een ‘losgeld’ voor het ophalen van hun bestanden.
In dit geval slachtoffers worden geconfronteerd met een vraag voor 5000 roebel ($77) voor de “Jonge Programmeurs Fonds.”
Malwarebytes
Echter, de malware ook heeft bijzondere aspecten, zoals het gebruik en misbruik van Telegram Boodschapper communicatie-protocol voor het verzenden decryptie sleutels om de dreiging acteur, die volgens de Veilige Lijst, verschijnt het “eerste cryptor gebruik van het Telegram protocol in een codering malware geval.”
Terwijl cryptors ofwel behouden offline codering of niet, deze Trojan kiest. Om te houden communicatie lijnen tussen de dreiging acteur en ransomware verborgen en beschermde, veilige kanalen moeten worden gemaakt — en dit is vaak het verhoogt de kosten van de ontwikkeling van malware.
Tot het omzeilen van deze kosten, TeleCrypt misbruik maakt van de openbaar beschikbare Telegram Bot API door te opereren als een bot die genereert een unieke lopers die worden ingevoegd in de malware lichaam, zodat de Trojan kan gebruik maken van het Telegram API.
Door gebruik te maken van dit kanaal in plaats van het handhaven van de communicatie tussen de exploitant van de command en control center (C&C) meer dan een eenvoudige HTTP-protocollen, vaak gebruikt door vele ransomware-varianten, verbeterde beveiliging en opsporing van de operator is moeilijker.
“TeleCrypt maakt gebruik van het TeleGram API om de informatie te verzenden aan de slachtoffers van de ransomware schepper en om informatie te verzenden terug,” Malwarebytes onderzoeker Nathan Scott zegt. “Deze manier van communicatie is zeer uniek-het is een van de eerste gebruik van een reguliere messaging client-API in plaats van een C&C-server voor het verzenden van opdrachten en informatie krijgen.”
Echter, de ransomware bevat ook een grote fout. Telecrypt versleutelt bestanden door de looping door hen één byte tegelijk, en dan gewoon het toevoegen van een byte van de sleutel in de volgorde, zoals aangegeven door Scott, en als zodanig deze eenvoudige encryptie methode maakte de taak van het creëren van een speciale applicatie eenvoudiger voor onderzoekers.
De beveiliging specialist is in staat om snel de ontwikkeling van een speciale tool die het mogelijk maakt slachtoffers om te herstellen van hun bestanden zonder te betalen. Echter, moet u een niet-versleutelde versie van een bestand is vergrendeld om te fungeren als een voorbeeld voor het genereren van een werkende decoderingssleutel .
Meer nieuws over beveiliging
Catastrofale botnet te breken sociale media netwerken in 2017
DoD, HackerOne kick off Hack het Leger bug bounty uitdaging
ATM hacks in ‘meer dan een dozijn Europese landen in 2016: IB-Groep
Windows 10 tip: Houd uw Microsoft-account te beveiligen met 2-factor authenticatie