Telegram, «Касперский» и троян-шифровальщик за 5000

Российские мошенники создали новый вирус. Он относится к группе шифровальщиков и распространяется через популярное приложение Telegram. Об обнаружении вируса, использующего протокол мессенджера Telegram, заявила «Лаборатория Касперского».

Вредоносное ПО шифрует находящиеся на вашем устройстве файлы – от документов до фотографий, после чего вывешивает на рабочий стол окно с требованием оплатить за ключ для расшифровки. Авторы вредоноса уверяют: без их помощи вернуть файлы в первозданный вид невозможно, даже переустановив систему заново.

Троянец написан на Delphi и имеет размер более 3Мб. После запуска вредоносное ПО генерирует ключ для шифрования файлов и идентификатор заражения infection_id.

Далее вирус связывается со своими создателями с помощью публично доступного Telegram Bot API. Для этого они заранее создали «бот Telegram», получив при этом от серверов Telegram уникальный токен, который однозначно идентифицирует вновь созданного бота, и поместили его в тело вируса, чтобы он мог использовать API Telegram.

Вирус ищет на дисках файлы заданных расширений и шифрует их. Затем зловред скачивает дополнительный модуль Xhelp.exe и запускает его. Этот модуль – его назвали «Информатор» – сообщает жертве о произошедшем, а также выдвигает требования выкупа. Сумма составляет 5000 руб, а в качестве методов оплаты предлагаются Qiwi и Яндекс.Деньги.

Связь жертвы со злоумышленниками осуществляется через поле ввода в интерфейсе «Информатора».

В блоге «Лаборатории Касперского» опубликованы имена файлов, под которыми можно обнаружить зловреда на вашем гаджете.

Специалисты компании просят пользователей, столкнувшихся в этим вирусом, не платить злоумышленникам, а обратиться в службу поддержки «Лаборатории», где помогут расшифровать зараженные файлы.

При этом нигде не сообщается, как уберечь свой смартфон от заражения...