Nieuwe ransomware communiceert via Telegram

  1. 24 nov 2016
  2. 0 reacties

encryptie

Een nieuwe vorm van ransomware blijkt de versleutelde communicatiedienst Telegram te gebruiken voor Command en Control (C&C)-verkeer. Het gaat om de ransomware Telecrypt, die voornamelijk Russische sprekende gebruikers aanvalt.

De ransomware is ontdekt door onderzoekers van Kaspersky Lab. Opvallend aan de ransomware is dat alle communicatie tussen de ransomware en de cybercriminelen achter Telecrypt verloopt via Telegram. Vooraf aan de infectie maken de cybercriminelen een ‘Telegram bot’ aan, die aan de ransomware wordt gekoppeld via een uniek ID die in de malware wordt opgenomen. Zodra de ransomware zich in een systeem heeft genesteld neemt de malware allereerst contact op met deze Telegram bot. Vervolgens verstuurt de malware allerlei informatie naar de bot, waaronder:

  • de naam van de geïnfecteerde machine
  • de ID van de infectie
  • het nummer dat is gebruikt als basis om de encryptiesleutel te creëren

Bestanden gijzelen

Nadat deze informatie is afgeleverd gaat de ransomware op zoek naar bestanden om te versleutelen. De malware probeert alle Word- en Excel-documenten, JPG-, JPEG- en PNG-afbeeldingen, database bestanden (DBF) en PDF-documenten te gijzelen. Vervolgens wordt een grafische module gedownload, die wordt geladen en 5.000 roebel losgeld eist van slachtoffers die hun data weer toegankelijk willen maken.

Kaspersky Lab adviseert slachtoffers overigens nooit dit losgeld betalen. Getroffen gebruikers zouden contact op moeten nemen met hun systeembeheerder, zodat bijvoorbeeld een back-up kan worden teruggeplaatst indien deze beschikbaar is.

Meer over
Lees ook
Nieuwe tool ontsleutelt door ransomware gegijzelde data

Nieuwe tool ontsleutelt door ransomware gegijzelde data

Wie het doelwit wordt van ransomware ziet zijn data in veel gevallen verloren gaan. Voor gebruikers die de ransomware ‘Operation Global III’ hun data in gijzeling hebben zien nemen is er echter goed nieuws. Een beveiligingsonderzoeker lanceert een gratis tool waarmee gebruikers gegijzelde data kunnen ontsleutelen en de infectie met Operation Globa1

Ransomware probeert vertrouwen slachtoffers te winnen met één gratis ontsleuteld bestand

Ransomware probeert vertrouwen slachtoffers te winnen met één gratis ontsleuteld bestand

De cybercriminelen achter de ransomware CoinVault zetten een nieuwe tactiek in om gebruikers te overtuigen losgeld te betalen. De ransomware versleutelt alle data van gebruikers, maar biedt slachtoffers de mogelijkheid één bestand gratis te ontsleutelen. Om toegang te krijgen tot de rest van de data moet echter betaald worden. De werkwijze is ontd1

Ransomware-aanvallen zijn steeds vaker op gezondheidsinstellingen gericht

Ransomware-aanvallen zijn steeds vaker op gezondheidsinstellingen gericht

Hackers hebben een gevaarlijke methode ontdekt om via ransomware geld te verdienen. Cybercriminelen richten zich steeds vaker op de gezondheidszorg, die in toenemende mate patiëntgegevens digitaal opslaat. Door deze data in gijzeling te nemen hopen de cybercriminelen een flinke hoeveelheid geld te verdienen. Jeff Horne, een expert van beveiligings1