Аналитики «Лаборатории Касперского» проанализировали образец нового шифровальщика, который использует популярный мессенджер Telegram для коммуникации с организатором атаки и нацелен на русскоязычных пользователей. Это первый в своем роде зловред — до этого с использованием протокола Telegram в коде шифровальщиков специалисты не сталкивались.

Как известно, шифровальщикам обычно необходим доступ к Интернету для того, чтобы передать ключ для шифрования злоумышленнику, однако для получения и хранения таких данных последнему нужна защищенная инфраструктура, что требует дополнительных затрат при разработке. Но с использованием Telegram вирусописатель может упростить себе задачу.

Троянец-шифровальщик написан на языке Delphi и имеет размер более 3 Мбайт. Оказавшись в системе жертвы, он генерирует ключ для шифрования файлов и идентификатор заражения infection_id.

Затем шифровальщик устанавливает связь со злоумышленником при помощи доступного API Telegram Bot, то есть превращается в Telegram-бота и при помощи публичного API общается с организаторами атаки. Для общения злоумышленники заранее создали бот Telegram, получив от сервера Telegram уникальный токен, и внедрили его в свой зловред.

Троянец отправляет запрос на адрес api.telegram.org/bot/GetMe, где — это уникальный идентификатор Telegram-бота, созданного злоумышленниками. Это верифицирует бот и позволяет получить о нем базовую информацию, которая, впрочем, никак не используется в дальнейшем.

При помощи функции sendMessage бот способен посылать сообщения в чат с заданным номером. Зловред таким образом сообщает своим создателям о факте заражения. Отправив эти сведения, зловред сканирует диски на наличие подходящих для шифрования расширений и побайтово шифрует их простейшим алгоритмом.

При этом троянец либо добавляет к имени файла расширение .Xcri, либо вообще не меняет расширение. Список зашифрованных файлов сохраняется в текстовом файле %USERPROFILE%\Desktop\База зашифр файлов.txt. Зашифровав файлы, зловред отправляет практически идентичный предыдущему запрос, содержащий слово «stop», а затем скачивает с зараженного WordPress-сайта дополнительный модуль («Информатор»), при помощи которого отображает требование выкупа на русском языке. Размер выкупа составляет 5 тыс. рублей с возможностью оплаты через системы QIWI и «Яндекс.Деньги». Содержание записки наводит на мысль, что данный зловред создан script kiddies, так как сообщение пестрит ошибками и призывает помогать «Фонду юных программистов».

telegram_rans_ru_4Дальнейшее общение жертвы и злоумышленника осуществляется через «Информатор» и также использует sendMessage в API Telegram.В «Лаборатории Касперского» этот зловред детектируется с вердиктами Trojan-Ransom.Win32.Telecrypt и PDM:Trojan.Win32.Generic.