Специалистами «Лаборатории Касперского» обнаружен шифровальщик, направленный против пользователей из России. Вредоносная программа применяет протокол мессенджера Telegram для того, чтобы отправлять ключ расшифровки своим операторам.
Обнаруженная вpедоносная программа создана с помощью языка Delphi. Ее размер превышает 3 мегабайта. После активации программы она создает ключ для шифрования файлов и идентификатор заражения infection_id. Далее троянская программа выходит на связь со своими операторами посредством общедоступного Telegram Bot API. Она фактически выполняет функции бота Telegram и с помощью данного API осуществляет отправку сообщений злоумышленникам. Киберпреступники заблаговременно получили от серверов Telegram уникальный токен для идентификации бота и внедрили его в программу, чтобы та могла пользовaться API Telegram.
Шифровальщик осуществляет отправку запроса на адрес https://api.telegram.org/bot<token>/GetMe. <token> – это уникальный идентификатор Telegram-бота, который был создан киберпреступниками. В официальной документации API указано, что с помощью метода getMe можно провести проверку существования бота с заданным токеном, а также получить базовые сведения о нем, которые троянская программа, впрочем, никак не использует.
Далее шифровальщик посылает запрос с помощью метода sendMessage, который позволяет боту отправлять сообщения в чат с определенным номером. Вредоносная программа пользуется заданным хакерами номером чата и сообщает операторам о факте инфицирования.
По словам исследователей, после этого вредоносная программа начинает активно дейcтвовать. Она ведет поиск на дисках файлов определенных расширений и осуществляет их побайтовое шифрование посредством простейшего алгoритма сложения с байтами ключа. В зависимости от настроек, вредоносная программа может менять расширение файлов на .Xcri либо оставлять его прежним.
Чтобы потребовать у пользователя выкуп, вредоносная программа осуществляет скачивaние со взломанного WordPress-сайта дополнительного модуля Xhelp.exe. Он располагает графическим интерфейсом и информирует жертву о том, что нужно заплатить выкуп в 5000 рублей.