Nieuwe ransomware communiceert via Telegram

Een nieuwe vorm van ransomware blijkt de versleutelde communicatiedienst Telegram te gebruiken voor Command en Control (C&C)-verkeer. Het gaat om de ransomware Telecrypt, die voornamelijk Russische sprekende gebruikers aanvalt.

De ransomware is ontdekt door onderzoekers van Kaspersky Lab. Opvallend aan de ransomware is dat alle communicatie tussen de ransomware en de cybercriminelen achter Telecrypt verloopt via Telegram. Vooraf aan de infectie maken de cybercriminelen een ‘Telegram bot’ aan, die aan de ransomware wordt gekoppeld via een uniek ID die in de malware wordt opgenomen. Zodra de ransomware zich in een systeem heeft genesteld neemt de malware allereerst contact op met deze Telegram bot. Vervolgens verstuurt de malware allerlei informatie naar de bot, waaronder:

• de naam van de geïnfecteerde machine
• de ID van de infectie
• het nummer dat is gebruikt als basis om de encryptiesleutel te creëren

Bestanden gijzelen

Nadat deze informatie is afgeleverd gaat de ransomware op zoek naar bestanden om te versleutelen. De malware probeert alle Word- en Excel-documenten, JPG-, JPEG- en PNG-afbeeldingen, database bestanden (DBF) en PDF-documenten te gijzelen. Vervolgens wordt een grafische module gedownload, die wordt geladen en 5.000 roebel losgeld eist van slachtoffers die hun data weer toegankelijk willen maken.

Kaspersky Lab adviseert slachtoffers overigens nooit dit losgeld betalen. Getroffen gebruikers zouden contact op moeten nemen met hun systeembeheerder, zodat bijvoorbeeld een back-up kan worden teruggeplaatst indien deze beschikbaar is.