В Telegram обнаружена первая программа-шифровальщик, которая использует мессенджер для взаимодействия с злоумышленниками.
«Лаборатория Касперского» сообщает о появлении вредоносной программы, которая атакует пользователей и шифрует текстовые и графические файлы, а затем требует выкуп. Как отмечают в компании зловред написан на Delphi и имеет размер более 3 Мбайт. Создатели шифровальщика заранее получили от серверов мессенджера уникальный токен, идентифицирующий бота, и поместили его в тело зловреда. Такой прием позволяет вредоносной программе использовать публичный API (интерфейс программирования приложений) Telegram и поддерживать таким образом связь с злоумышленниками.
После запуска вредоносной программы, она генерирует ключ для шифрования файлов и идентификатор, после чего оповещает злоумышленников посредством отправки сообщения в чат с заданным номером.
В «Лаборатории Касперского» отмечают, что зловред использует один из простейших алгоритмов. В зависимости от настройки программа может добавлять зашифрованным файлам расширение .Xcri, либо вообще не менять название файла. За расшифровку данных злоумышленники требуют выкуп в размере 5000 рублей, однако в компании рекомендуют не платить киберпреступникам и в случае заражения компьютера обратиться за помощью в восстановлении данных к специалистам «Лаборатории Касперского».
Все продукты «Лаборатории Касперского» детектируют шифровальщика, использующего протокол Telegram, как Trojan-Ransom.Win32.Telecrypt.