Telecrypt چیست؟

BirHosting Telecrypt index
توسط

باجگیر Telecrypt مخصوص تلگرام

Telecrypt یک باج افزار جدید و خرابکار می باشد که با سوء استفاده از سرویس پیام رسان تلگرام فرماندهی و کنترل ارتباطات (C & C) را در دست می گیرد.
متخصصین امنیت آزمایشگاه Kaspersky یک باج افزار جدید به نام تروجان (Telecrypt Ransom.Win32.Telecrypt) را کشف نموده اند که با استفاده از سرویس پیام رسان تلگرام فرماندهی و کنترل ارتباطات (C & C) را در دست می گیرد.
تروجان نوشته شده با زبان دلفی که در حال حاضر کاربران روسی را هدف قرارداده، از پروتکل پیام رسان تلگرام برای ارسال کلید رمزگشایی به مهاجمین استفاده می کند.
هنگامی که یک ماشین آلوده می شود، باج افزار Telecrypt یک کلید برای فایل رمزنگاری شده و یک ID آلوده تولید می کند. این امر یک ربات تلگرام ایجاد می کند که و از API تلگرام برای ارسال داده های آلوده جهت تجهیزات C&C سوء استفاده می کند.

در صورتی که آلودگی C&C با موفقیت انجام پذیرد Telecrypt یک پیغام پایان تماس مربوط به ماشین ارسال می کند.(به عنوان مثال شماره چت، نام کامپیوتر، ID آلوده و seed برای کلید رمزنگاری)
سپس تروجان یک درخواست URL ارسال می کند:
https://api.telegram.org/bot/GetMe, که یک ID تولید شده منحصر به فرد توسط مجرمان سایبری برای ربات تلگرام ذخیره خواهد شد. با توجه به اسناد رسمی API، روش ‘getMe’ برای تست این که آیا ربات با نشانه token مشخص وجود دارد استفاده می شود. این تروجان اطلاعات راجع به ربات را به سرور بازمی گرداند.
سپس باج افزار Telecrypt فایل های موجود را با فایل مشخصی در حافظه رمزنگاری می کند. محققان معتقدند که باج افزار گاهی از extension های .Xcri برای رمزنگاری فایل ها استفاده نموده و از سوی دیگر آن را تغییر نمی دهد.
هنگامی که فرآیند رمزنگاری به اتمام رسید تروجان Telecrypt یک فایل قابل اجرا از وب سایت WordPress که باج افزار برای نمایش پیغام ها از آن استفاده می کند را اجرا کرده و از قربانیان مبلغی معادل $۷۷ برای بازگردانی فایل ها از طریق QIWI و یا Yandex درخواست می کند.
سپس تروجان ماژول های دیگری از (Xhelp.exe (URL: http://***.ru/wp-includes/random_compat/Xhelp.exe از یک وب سایت ایجاد شده توسط WordPress دانلود نموده و آن را راه اندازی می کند. این ماژول که Informer نام دارد در به زبان روسی ‘Информатор’ شناخته می شود به وسیله مجرمان سایبری دارای یک رابط گرافیکی و اطلاع رسانی به قربانی درباره این که چه اتفاقی افتاده و تقاضای باج می باشد. باج ۵,۰۰۰ RUB که توسط QIWI و یا Yandex.Money پذیرفته شده در ادامه این گزارش توسط Kaspersky منتشر شده است.
صفحه باج افزار همچنین به قربانیان اجازه می دهد تا از تلگرام برای برقراری ارتباط با کلاهبرداران و یا سوء استفاده از آن ها استفاده نماید.


پست های توصیه شده