Первый пошел: «Лаборатория Касперского» нашла шифровальщика, «общающегося» через Telegram

08.11.2016



«Лаборатория Касперского» обнаружила первую программу-шифровальщик, использующую популярный мессенджер Telegram для взаимодействия с злоумышленниками. В настоящее время зловред атакует российских пользователей — программа шифрует текстовые и графические файлы, а затем требует выкуп в размере 5000 рублей.


telegram-ransom-650-50525-346112.png


Всплывающее окно шифровальщика с извещением пользователя о заражении


Найденный шифровальщик по сути является ботом Telegram — его создатели заранее получили от серверов мессенджера уникальный токен, идентифицирующий бота, и поместили его в тело зловреда. Этот прием позволяет вредоносной программе использовать публичный API (интерфейс программирования приложений) Telegram и поддерживать таким образом связь с злоумышленниками. К примеру, шифровальщик извещает киберпреступников о факте заражения компьютера посредством отправки сообщения в чат с заданным номером.


Что касается непосредственно шифрования, то зловред использует один из простейших алгоритмов. В зависимости от настройки программа может добавлять зашифрованным файлам расширение .Xcri, либо вообще не менять название файла.


«Если вы стали жертвой этого шифровальщика, мы убедительно просим вас не платить злоумышленникам. Можно обратиться в нашу службу поддержки, и мы поможем расшифровать файлы, — рассказывает Фёдор Синицын, старший антивирусный аналитик «Лаборатории Касперского». — Мы видим, что угроза, исходящая от шифровальщиков, растет крайне быстрыми темпами. Именно поэтому мы делаем все возможное, чтобы помочь пользователям справиться с этой бедой: выкладываем в публичный доступ утилиты для расшифровки, включаем в наши защитные решения новые функции, позволяющие распознавать шифровальщиков по их поведению, даем пользователям возможность создавать и обновлять резервные копии файлов».


Все продукты «Лаборатории Касперского» детектируют шифровальщика, использующего протокол Telegram, как Trojan-Ransom.Win32.Telecrypt. Подробнее об этой угрозе можно узнать из отчета «Лаборатории Касперского»: https://securelist.ru/blog/issledovaniya/29592/the-first-cryptor-to-exploit-telegram.



Источник: Лаборатория Касперского