باج‌افزار Telecrypt: باج‌افزاری که از تلگرام سوءاستفاده می‌کند

نگاه دیگران
سه‌شنبه, 25 آبان 1395

محققان اخیراً باج‌افزار جدیدی را کشف و آن را Telecrypt نام‌گذاری کرده‌اند. این باج‌افزار جدید از پیام‌رسان تلگرام برای ارتباطات با کارگزار فرمان‌دهی و کنترل خود استفاده می‌کند و باج‌افزار، نوعی بدافزار است که پس از نصب شدن در دستگاه قربانی شروع به رمزگذاریِ پرونده‌های حساس کاربر از جمله عکس‌ها، پرونده‌های متنی و ویدئویی می‌کند و سپس از کاربر می‌خواهد برای رمزگشایی پرونده‌ها مبلغی پول الکترونیکی (معمولاً پول مجازی بیت‌کوین) پرداخت نماید تا کلید رمزگشایی پرونده‌ها رت به قربانی بدهد.

این بدافزار با نام Trojan-Ransom.Win۳۲.Telecrypt توسط محققان آزمایشگاه کسپرسکی کشف شده و به گزارش این آزمایشگاه قعلاً کاربران در روسیه را هدف قرار داده است. این گروه باج‌افزاری برای اینکه سرویس جدید ارتباطی برای خودشان طراحی نکنند از پروتکل ارتباطی تلگرام سوءاستفاده کرده‌اند. با توجه به تعداد کاربران ایرانی نرم‌افزار تلگرام بعید نیست این باج‌افزار سراغ کاربران ایرانی هم بیاید.

این تروجان نوشته‌شده با دلفی، در مرحله‌ی اول که اجرا شد، یک کلید رمزنگاری و شناسه‌ی آلودگی تولید می‌کند. در ادامه این بدافزار یک بات تلگرام ایجاد کرده و از طریق API تلگرام به مهاجمان اطلاع می‌دهد که آلوده کردن قربانی با موفقیت انجام شد. همچنین اطلاعاتی همچون شماره گفتگو، نام رایانه، شناسه‌ی آلودگی و مقدار اولیه مربوط به کلید رمزنگاری را برای مهاجم ارسال می‌کند.

پس از اینکه بدافزار اطلاعات مربوط به دستگاه ِ آلوده را جمع‌آوری کرد، بر روی درایو سخت به دنبال پرونده‌های خاصی گشته و آن‌ها را رمزنگاری می‌کند. در برخی نمونه‌ها مشاهده شده که باج‌افزار به انتهای پرونده‌های رمزنگاری‌شده پسوند Xcri. را اضافه کرده است ولی در برخی موارد هم پسوند خود پرونده دست‌نخورده باقی مانده است.

وقتی پرونده‌ها رمزنگاری شدند، بدافزار یک پرونده‌ی اجرایی را از یک وب‌گاه وردپرس آلوده بارگیری می‌کند. این ماژول بارگیری‌شده که مهاجمان به آن «اطلاع‌دهنده» نیز می‌گویند، پیغام باج‌خواهی را به قربانی نمایش می‌دهد و برای برگرداندن پرونده‌ها ۷۷ دلار باج درخواست می‌کنند. این باج می‌تواند از طریق سرویس پرداخت روشی مانند Qiwi یا Yandex.Money پرداخت شود.

صفحه‌ای که در آن پیام باج‌خواهی نمایش داده می‌شود دارای یک بخش متنی نیز هست که از طریق آن قربانیان می‌توانند با مهاجم در ارتباط باشند. این بخش نیز از سرویس‌های تلگرام سوءاستفاده می‌کند.

باتوجه به پیغام باج‌خواهی که خیلی بد نوشته شده و سایر جنبه‌ها، محققان حدس می‌زنند نویسندگان این باج‌افزار خیلی حرفه‌ای نیستند. همچنین این باج‌افزار از رمزنگاری خیلی ساده استفاده می‌کند که محققان آزمایشگاه کسپرسکی در تلاش هستند تا به راحتی آن را بشکنند. محققان به قربانیان Telecrypt توصیه کرده‌اند تا باج را پرداخت نکنند و در عوض با گروه پشتیبانی کسپرسکی تماس بگیرند تا به آن‌ها کمک کنند.

آزمایشگاه کسپرسکی یک از اولین شرکت‌های امنیتی است که در اقدام NoMoreRansom شرکت کرده و در تلاش است ابزارهای رایگان برای رمزگشایی پرونده‌ها که با باج‌افزارهای مختلف رمزنگاری شده‌اند، ارائه کند.مچنین اجازه می‌دهد قربانیان از طریق تلگرام با مهاجم در ارتباط باشند.

برچسب‌ها امنیت ,