Malwarebytes
Ransomware, der misbruger den Telegram app-API er blevet stoppet i dens spor kun få uger efter opdagelsen.
Den malware, TeleCrypt, er typisk ransomware på den måde, at den ondsindede kode, der fungerer. Hvis russisk-talende ofre ved et uheld kører-og udføre software-potentielt ondsindede downloads eller phishing-angreb — TeleCrypt vil kryptere et system, og smide en advarsel side, afpresning brugeren til at betale en “løsesum” for at hente deres filer.
I dette tilfælde, ofrene står over for en efterspørgsel til 5.000 rubler ($77) for de “Unge Programmører Fonden.”
Malwarebytes
Men den malware har også usædvanlige aspekter, såsom brug og misbrug af Telegram Messenger ‘ s kommunikations-protokol til at sende dekryptering nøgler til truslen skuespiller, som, i henhold til at Sikre Listen, synes at være den “første cryptor at bruge Telegram-protokollen i en kryptering malware sag.”
Mens cryptors enten at holde offline kryptering eller ikke, denne Trojanske vælger at. For at holde kommunikationslinjer mellem den trussel, skuespiller og ransomware skjult og beskyttet, har brug for sikre kanaler til at blive skabt-og det ofte øger prisen for malware udvikling.
For at omgå disse omkostninger, TeleCrypt misbrug af offentligt tilgængelige Telegram Bot API ved at fungere som en bot, der skaber unikke tokens, der er indsat i den malware kroppen, så den Trojanske kan bruge Telegram API.
Ved at udnytte denne kanal i stedet for at opretholde kommunikationen mellem operatøren kommando-og kontrol-center (C&C), over simpel HTTP-baserede protokoller, der almindeligvis anvendes af mange ransomware varianter, sikkerhed og forbedret opsporing operatøren er mere vanskeligt.
“TeleCrypt bruger TeleGram API til at sende oplysninger om sine ofre for ransomware creator og til at sende oplysninger tilbage,” Malwarebytes forsker Nathan Scott siger. “Denne form for kommunikation er meget unikke-det er en af de første til at bruge en mainstream messaging klient-API, i stedet for en C&C server, til at sende kommandoer og få oplysninger.”
Dog, den ransomware indeholder også en stor fejl. Telecrypt krypterer filer ved at loope igennem dem, en enkelt byte ad gangen, og derefter skal du blot tilføje en byte fra tasten for, som bemærket af Scott, og som sådan, er denne simple kryptering metode lavet opgaven med at skabe en dekryptering ansøgning lettere for forskere.
Sikkerhed specialist, har været i stand til hurtigt at udvikle en dekryptering-værktøj, der giver ofre for at gendanne deres filer uden at betale. Men, du har brug for en ikke-krypteret version af en låst fil til at fungere som en prøve til at generere en arbejder dekrypteringsnøgle .
Mere sikkerhed nyheder
Katastrofale botnet til at smadre sociale medier netværk i 2017
DoD, HackerOne kick off Hack Hæren bug bounty udfordring
ATM hacks i ‘mere end et dusin” Europæiske lande i 2016: Gruppe B
Windows-10 tip: Hold din Microsoft-konto med 2-faktor autentificering