Telecrypt Ransomware使用电报进行命令和控制

Telecrypt是一种新发现的加密赎金软件,它使用电报的通信协议将解密密钥传递给骗子,是针对俄语用户。

Telecrypt Ransomware的Informer模块显示了赎金需求,并为受害者提供了与网络犯罪分子沟通的方式

恶意软件加密Word和Excel文件,JPG,JPEG和PNG图像文件,数据库文件(DBF)和PDF。

“根据其配置,特洛伊木马可以将分机为“.xcri”添加到加密文件,或者将扩展名不变,”卡巴斯基实验室研究人员 解释 . “加密文件列表被保存到文本文件'%userprofile%\ desktop \базазашифрфайлов.txt'。”

Telecrypt最有趣的是它使用电报频道“keep in touch” with its creators.

研究人员不’提到恶意软件如何传递给最终用户,但感染过程如下:

  • 在感染之前,网络犯罪分子创造了一个“电报机器人”
  • 受害者推出了恶意二元
  • 勒索制造器 创建文件加密密钥和感染ID
  • 然后,检查是否已创建上述电报机器人(使用电报机器人这样做’唯一的ID被放置在木马的身体上)。
  • 后“finding”Trojan通过电报Bot API发送以下信息:Cyber​​Criminal的聊天数量,受感染的计算机的名称,感染ID和用作生成文件加密密钥的基础的数量。
  • 只有那么它开始搜索和加密位于受害者中的文件’s computer’s hard drives.
  • 一旦加密过程完成,它会通知骗子(通过机器人)
  • 它下载了一个模块,一个图形界面显示了赎金票据(骗子要求5,000卢布,通过Qiwi或Yandex.money提供),并提供与骗子联系的选项(也通过电报)。

卡巴斯基实验室表示,受害者不应该支付赎金,但联系他们的支持团队,以帮助解密文件。

分享这个