Erste Ransomware auf Telegram mit Deschiffrierfunktion

Anzeige
Im vergangenen Monat wurde Ransomware entdeckt, die Nutzer weltweit angreift, und zu deren Besonderheiten es gehört, dass sie das Protokoll des Messengers Telegram nutzt, um den Angreifern den Dechiffrierungsschlüssel zu übermitteln.

Das ist der erste weltweit bekannte Fall, bei dem das Telegram-Protokoll von Verschlüsselungsschädlingen verwendet wird.  Die Notwendigkeit, das Internet bei der Verschlüsselung der Nutzerdaten zu verwenden, kann sich aus mehreren Gründen ergeben. Beispielsweise könnte es sein, dass die Angreifer der Ransomware den Schlüssel zur Chiffrierung schicken und von dieser dann im Gegenzug Informationen für die spätere Dechiffrierung der Dateien des Opfers erhalten. Um die Daten von dem Schädling erhalten zu können, brauchen die Virenschreiber einen speziellen Dienst. Dieser Dienst muss durch unbeteiligte Forscher geschützt sein, was wiederum zusätzliche Ausgaben für die Entwicklung dieses Dienstes von den Cyberbetrügern fordert.

Der Trojaner ist in Delphi programmiert und hat eine Größe von über 3 MB. Nach dem Start generiert der Schädling einen Schlüssel zur Chiffrierung der Dateien sowie eine Infektions-ID – infection_id. Daraufhin verbindet er sich mit Hilfe der öffentlich zugänglichen Telegram Bot API mit den Cyberkriminellen. Das heißt, dass der Trojaner eigentlich die Funktion eines Telegram-Bots ausführt und mittels der öffentlichen API Mitteilungen an seine Schöpfer versendet. Zu diesem Zweck haben die Hacker im Vorwege einen „Telegram-Bot“ erstellt. Sie erhielten von den Telegram-Servern einen einmaligen Token, der den neu erstellten Bot eindeutig identifiziert, und platzierten ihn im Körper des Trojaners, damit dieser die Telegram-API benutzen kann.

Quelle: hier

Einen Kommentar schreiben