کمیته رکن چهارم – پژوهشگران امنیتی بهتازگی موفق شدهاند یک باجافزار جدید رمزکننده فایلها را شناسایی کنند. آنها این باجافزار را Telecrypt نامیدهاند. این باجافزار جدید از برنامه پیامرسان تلگرام برای برقراری ارتباط با مرکز کنترل و فرماندهی خود استفاده میکند.
به گزارش کمیته رکن چهارم،همچنین به قربانیان خود اجازه میدهد از طریق تلگرام با مهاجم در ارتباط باشند و پیامهایی را برای او ارسال کنند. کارشناسان آزمایشگاه امنیتی کسپرسکی، این بدافزار را که Trojan-Ransom.Win32.Telecrypt نام دارد، شناسایی کردهاند. گزارش این شرکت نشان میدهد که در حال حاضر، ساکنان روسیه هدف این باجافزار هستند. نکته جالب توجه در این باجافزار، مکانیزم ارتباطی آن است؛ گروه طراحی این باجافزار برای اینکه مجبور نباشند یک سرویس جدید ارتباطی برای خودشان طراحی کنند، از پروتکل ارتباطی تلگرام سوءاستفاده کردهاند. این تروجان که به زبان برنامهنویسی دلفی نوشته شده است، زمانیکه اجرا میشود، یک کلید رمزنگاری و شناسه آلودگی ایجاد میکند. در گام بعد، یک بات تلگرام ایجاد کرده و از طریق توابع واسط برنامهنویسی تلگرام به هکر اعلام میکند که فرایند آلوده کردن قربانی با موفقیت به پایان رسیده است. در ادامه، تروجان درخواستی را با استفاده از تابع sendMessage ارسال میکند. این تابع به بات اجازه میدهد پیامها را برای شماره خاصی ارسال کند.
ترکیب نحوی مورد استفاده این تروجان به این شرح است:
api.telegram.org/bot/sendmessage?chat_id=&text=__
تروجان پارامترهای زیر را همراه با درخواست خود ارسال میکند:
– number of the chat with the cybercriminal;
– name of the infected computer;
– infection ID;
– number used as a basis to generate the file encryption key.
در ادامه، شماره تلفن، نام کامپیوتر، شناسه آلودگی و مقدار اولیه متعلق به کلید رمزنگاری را برای هکر ارسال میکند. بعد از اینکه موفق شد اطلاعات مربوط به دستگاه آلوده قربانی را به دست آورد، هارددیسک قربانی را پویش کرده و سعی میکند فایلهای خاصی را شناسایی و رمزنگاری کند. گزارش کسپرسکی نشان میدهد که در بعضی موارد، باجافزار به انتهای تعدادی از فایلها پسوند .Xcri را افزوده است. با وجود این، در بعضی موارد در حالی که فایلها رمزنگاری شده بودند، فرمت فایلی آنها همچنان بدون تغییر باقی مانده بود. زمانیکه فایلها روی سامانه قربانی رمزنگاری شدند، بدافزار یک فایل اجرایی را از یک سایت وردپرسی آلوده دانلود میکند. این ماژول دانلودشده که هکرها آن را آگاهیرسان نامگذاری کردهاند، پیغام دریافت باج را به قربانیان خود نشان میدهد. در ادامه، به قربانیان اعلام میکند که برای دسترسی مجدد به فایلهای خود باید ۷۷ دلار به عنوان باج پرداخت کنند. قربانیان میتوانند باج را از طریق سرویسهای پرداختی همچون Qiwi یا Yandex.Money برای هکرها ارسال کنند. صفحهای که پیام درخواست باج در آن قرار دارد، مشتمل بر یک بخش متنی است که از طریق آن، قربانیان میتوانند با مهاجم در ارتباط باشند. این بخش متنی نیز از سرویسهای تلگرام برای مقاصد خود سوءاستفاده میکند.
پژوهشگران امنیتی پس از بررسی محتوای پیغام ظاهرشده و ویژگیهای دیگری که در این باجافزار استفاده شده است، حدس زدهاند که طراح یا طراحان این باجافزار افراد حرفهای و خبره نیستند. نکته دیگر این است که فرایند رمزنگاری که این باجافزار از آن استفاده کرده است، چندان پیشرفته و حرفهای نیست. بر همین اساس، پژوهشگران شرکت کسپرسکی در تلاش هستند تا در اولین فرصت کدهای این باجافزار را شکسته و آن را رمزگشایی کنند. پژوهشگران کسپرسکی به قربانیان این باجافزار پیشنهاد کردهاند که باج مربوطه را پرداخت نکنند و با گروه پشتیبانی کسپرسکی تماس بگیرند تا به آنها کمک کنند. آزمایشگاه امنیتی کسپرسکی یکی از اولین شرکتهای امنیتی است که به NoMoreRansom پیوسته است و همواره تلاش میکند ابزارهای رایگانی را بهمنظور رمزگشایی فایلهایی که با باجافزارهای مختلفی کدگذاری شدهاند، ارائه کند.
منبع:رسانه خبری امنیت اطلاعات
