В общем случае шифровальщики можно разделить на две группы: те, которые поддерживают офлайн-шифрование и те, которые не поддерживают его. Необходимость использования Интернета для шифрования файлов пользователя обусловлена несколькими причинами. Например, злоумышленники могут отправлять шифровальщику ключ для шифрования и получать от него информацию для последующей расшифровки файлов жертвы.

Очевидно, что для получения данных от зловреда на стороне вирусописателя необходим специальный сервис. Данный сервис должен быть защищен от сторонних исследователей, что требует от злоумышленников дополнительных затрат на его разработку.

В этом месяце «Лаборатория Касперского» обнаружила нацеленный на российских пользователей шифровальщик, одна из особенностей которого — использование протокола мессенджера Telegram для отправки злоумышленнику ключа для расшифровки. Это первый известный нам случай использования протокола Telegram шифровальщиками.

Троянец написан на Delphi. После запуска зловред генерирует ключ для шифрования файлов и идентификатор заражения. Далее он связывается со злоумышленниками с помощью публично доступного Telegram Bot API. То есть, по сути, троянец выполняет функции бота Telegram и посредством публичного API отправляет сообщения своим создателям.

Для этого злоумышленники заранее создали «бот Telegram». Они получили от серверов Telegram уникальный токен, который однозначно идентифицирует вновь созданного бота, и поместили его в тело троянца, чтобы он мог использовать API Telegram.

Связь жертвы со злоумышленниками осуществляется через поле ввода в интерфейсе «Информатора». Реализована эта функциональность также через отправку Telegram-сообщения с помощью метода sendMessage.

Обилие грамматических ошибок в тексте требований заставляет задуматься об уровне образования авторов троянца. Также привлекает внимание заявление «Спасибо что помогаете фонду юных программистов».

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365