N.B: Sarà utile sapere che questo ransomware, facilmente intercettato dagli antivirus, colpisce quasi esclusivamente utenti russi: ne facciamo quindi una breve trattazione non tanto per la sua pericolosità, quanto perchè è interessante l'utilizzo dell'interfaccia di comunicazione tra server di Telegram.
Perchè TeleCrypt?
Il ransomware è stato così ribattezzato perchè utilizza il protocollo di comunicazione di Telegram per inviare la chiave di decriptazione al proprio sviluppatore.
Che cosa fa?
E' scritto in linguaggio di programmazione Delphi, pesa circa 3 mb.
Una volta lanciato nel dispositivo della vittima, TeleCrypt genera una chiave di cifratura e un codice che identifica in modo univoco l'infezione. A questo punto il ransomware cerca di comunicare tramite Telegram per inviare la chiave di decriptazione e l'identificativo dell'infezione al proprio creatore: lo farà tramite le Api pubbliche di Telegram per la gestione dei bot.
Cioè...
Telegram ha da qualche tempo introdotto i bot, app di terze parti che funzionano assieme a Telegram. Il server di Telegram svolge in questo caso una funzione intermediaria: l'interfaccia di comunicazione tra i server si chiama, per l'appunto, Telegram Bot Api ed è un protocollo protetto (HTTPS).
I cyber-crminali creano, come primo passo, un "bot per Telegram", poi inseriscono il token (ovvero l'ID univoco del bot) generato dai server di Telegram nel corpo di TeleCrypt affinchè questo possa comunicare sfruttando le API di Telegram.
Il ransomware invierà quindi una richiesta all'indirizzo https://api.telegram.org/bot[token]/GetMe. GetMe è un metodo utile a verificare se esista realmente un bot corrispondente a quel determinato token e ricevere quindi alcune prime, basilari informazioni su questo.
Il passo successivo è l'invio di una richiesta tramite il metodo sendMessage che permette al bot di inviare, in una specifica chat Telegram, alcune informazioni utili. Nella stringa inviata si trova
- il numero della chat dei cyber-criminali
- il nome del computer infetto
- l'identificativo unico dell'infezione
- un numero usato come base per generare la chiave di cifratura dei file
Come cripta i file?
Fatte queste operazioni utili a stabilire il canale comunicativo, il ransomware inizia il processo di criptazione, nei fatti piuttosto basilare visto che somma tutti i byte dei file con i byte della chiave in maniera ciclica. Alcune versioni non modificano l'estensione del file, altre ne modificano l'estensione in ".Xcri". A fine criptazione, il ransomware invia al server un messaggio identico al primo con l'aggiunta della stringa stop. Quindi scarica e esegue sulla macchina un eseguibile denominato "Xhelp.exe" che mostra alla vittima una nota di riscatto in russo che richiede circa 70 euro di riscatto.
Quali file cripta?
Pochi fortunatamente, ma tra i formati più diffusi.
.doc, .docx, .xls, .xlsx, .jpg, .jpeg, .png, .dt, .dbf, .cd, .pdf
Per una analisi tecnica più approfondita, vedi qui
Nessun commento:
Posta un commento