Nieuwe ransomware communiceert via Telegram

  1. 24 nov 2016
  2. 0 reacties

encryptie

Een nieuwe vorm van ransomware blijkt de versleutelde communicatiedienst Telegram te gebruiken voor Command en Control (C&C)-verkeer. Het gaat om de ransomware Telecrypt, die voornamelijk Russische sprekende gebruikers aanvalt.

De ransomware is ontdekt door onderzoekers van Kaspersky Lab. Opvallend aan de ransomware is dat alle communicatie tussen de ransomware en de cybercriminelen achter Telecrypt verloopt via Telegram. Vooraf aan de infectie maken de cybercriminelen een ‘Telegram bot’ aan, die aan de ransomware wordt gekoppeld via een uniek ID die in de malware wordt opgenomen. Zodra de ransomware zich in een systeem heeft genesteld neemt de malware allereerst contact op met deze Telegram bot. Vervolgens verstuurt de malware allerlei informatie naar de bot, waaronder:

  • de naam van de geïnfecteerde machine
  • de ID van de infectie
  • het nummer dat is gebruikt als basis om de encryptiesleutel te creëren

Bestanden gijzelen

Nadat deze informatie is afgeleverd gaat de ransomware op zoek naar bestanden om te versleutelen. De malware probeert alle Word- en Excel-documenten, JPG-, JPEG- en PNG-afbeeldingen, database bestanden (DBF) en PDF-documenten te gijzelen. Vervolgens wordt een grafische module gedownload, die wordt geladen en 5.000 roebel losgeld eist van slachtoffers die hun data weer toegankelijk willen maken.

Kaspersky Lab adviseert slachtoffers overigens nooit dit losgeld betalen. Getroffen gebruikers zouden contact op moeten nemen met hun systeembeheerder, zodat bijvoorbeeld een back-up kan worden teruggeplaatst indien deze beschikbaar is.

Meer over
Lees ook
Ransomware neemt bestanden op SD-kaart van Android-smartphones in gijzeling

Ransomware neemt bestanden op SD-kaart van Android-smartphones in gijzeling

Nieuwe Android-ransomware neemt bestanden die op de SD-kaart van smartphones staan in gijzeling en eist losgeld. De bestanden worden door de ransomware versleuteld, waarna slachtoffers 16 euro losgeld moeten betalen. De ransomware is op ondergrondse marktplaatsen te koop. De malware is ontdekt door het anti-virusbedrijf ESET. Beveiligingsonderzoek1

Makers van Bitcrypt-ransomware blunderen door zwakkere encryptie te gebruiken

Makers van Bitcrypt-ransomware blunderen door zwakkere encryptie te gebruiken

De cybercriminelen achter de Bitcrypt-ransomware hebben een flinke blunder gemaakt. De nieuwe ransomware versleutelt data op computers en eist vervolgens losgeld. Door een fout van de cybercriminelen is de data echter gewoon te redden zonder losgeld te betalen. Wie geïnfecteerd wordt met Bitcrypt krijgt de boodschap te zien dat zijn data is versle1

Europol: 'Ransomware is een miljoenenbusiness'

Europol: 'Ransomware is een miljoenenbusiness'

Het in gijzeling nemen van data van zowel bedrijven als consumenten en eisen van losgeld is een miljoenenbusiness. Tienduizenden slachtoffers van ransomware hebben inmiddels losgeld betaald. Dit stelt Europol, dat in samenwerking met het Nederlandse Nationale High Tech Crime Unit (NHTCU) ransomware heeft onderzocht. De opsporingsinstanties stellen1