Ransomware Telecrypt utiliza Telegram para el control

Telecrypt, una pieza recién descubierto de ransomware criptográfico que utiliza el protocolo de comunicación de Telegram para entregar la clave de descifrado a los ladrones, se dirige a los usuarios de habla rusa.

telecrypt-ransom

El software malicioso cifra los archivos de Word y Excel, JPG, JPEG y archivos de imagen PNG, archivos de base de datos (DBF), y archivos PDF.

“Dependiendo de su configuración, el troyano puede añadir la extensión ‘.Xcri’ a los archivos cifrados, o salir de la extensión sin cambios”, los investigadores de Kaspersky Lab explicó . “Una lista de los archivos cifrados se guarda en el archivo de texto”% USERPROFILE% \ Desktop \ База зашифр файлов.txt ‘. ”

Lo más interesante de Telecrypt es que utiliza canales Telegram a “mantenerse en contacto” con sus creadores.

Los investigadores no mencionan cómo se entrega el malware a los usuarios finales, pero el proceso de infección es la siguiente:

  • Antes de la infección, los cibercriminales crean un “bot Telegram”
  • Víctima lanza el binario malicioso
  • El ransomware crea una clave de cifrado de archivos y un ID de la infección
  • A continuación, comprueba si el bot Telegram antes mencionado ha sido creado (lo hace mediante el uso de la identificación única del bot Telegram que se ha colocado en el cuerpo del troyano).
  • Después de “encontrar” el robot, el troyano envía la siguiente información para que a través de la API de Telegram Bot: el número de la charla con el criminal cibernético, el nombre de la computadora infectada, el ID de la infección, y el número que se utiliza como base para generar la clave de cifrado de archivos.
  • Sólo entonces empieza a buscar y el cifrado de archivos que se encuentran en los discos duros del ordenador de la víctima.
  • Una vez que el proceso de cifrado se realiza, se informa a los ladrones (a través del bot)
  • Es capaz de descargar un módulo con una interfaz gráfica que muestra la nota de rescate (los estafadores piden 5.000 rubless, para ser entregados a través de Qiwi o Yandex.Money) y ofrece la opción de estar en contacto con los ladrones (también a través de Telegram).

Kaspersky Lab dice que las víctimas no deben pagar el rescate, pero si deben ponerse en contacto con su equipo de apoyo en busca de ayuda para descifrar los archivos.

Leave a Reply

%d bloggers like this: