«Лаборатория Касперского» рассказала о первом вирусе-шифровальщике, общающемся по Telegram

Эксперты «Лаборатории Касперского» рассказали о новом типе шифровальщиков — вредоносных программ, блокирующих доступ к определённым файлам с целью получения выкупа. Для сокрытия своих следов его авторы общаются с жертвами через Telegram.

Найденному в ноябре шифровальщику в «Лаборатории» присвоили идентификатор Trojan-Ransom.Win32.Telecrypt. Как и другие шифровальщики, он ищет на компьютере файлы определённых разрешений (документы и базы данных), шифрует их простым алгоритмом, а затем скачивает и запускает исполняемый файл с графическим интерфейсом. Через последний происходит требование выкупа за дешифровку.

Стоимость разблокировки — 5 тысяч рублей, оплату злоумышленники принимают через «Яндекс.Деньги» и QIWI. В случае, если у пользователя возникли проблемы при расшифровке файлов, авторы шифровальщика предлагают связаться с ними через специальную форму в приложении.

Как отмечают в «Лаборатории Касперского», сообщения, отправленные через эту форму, передаются по протоколу Telegram. Их получает специально созданный бот, токен которого вшит в приложение.

Отвечают ли злоумышленники, неизвестно: этого «Лаборатория Касперского» не уточняет. Если ответы и приходят, то по почте, которую жертва указывает при отправке денег.

Однако функция у использования протокола Telegram другая. Через него отправляются отчёты о факте заражения компьютеров, включая имя компьютера, номер заражения и ключ шифрования, который затем злоумышленники высылают обратно жертвам.

В компании отметили, что количество грамматических ошибок и заявление «Спасибо что помогаете фонду юных программистов» свидетельствуют о невысоком уровне образования авторов шифровальщика. В случае, если кто-то из пользователей столкнётся с Trojan-Ransom.Win32.Telecrypt, в «Лаборатории Касперского» порекомендовали обращаться в их собственную службу поддержки, где бесплатно помогут расшифровать файлы обратно.