Telecrypt, el nuevo ransomware que afecta a usuarios de Telegram
Expertos en seguridad detectan un nuevo ransomware que se ha bautizado con el nombre de Telecrypt y que afecta a usuarios de este servicios de mensajería
Parece que la publicación de nuevas amenazas se ha detenido, o al menos se ha reducido el ritmo de llegada a Internet. Los usuarios del servicio de mensajería Telegram tienen una nueva preocupación, ya que los expertos en seguridad han detectado una nueva amenaza bautizada con el nombre de Telecrypt, y que se encarga de cifrar los contenidos del dispositivo afectado.
Se ha detectado por primera vez en Rusia pero se está extendiendo a otros países con la ayuda inestimable de Internet. Esté escrito en Delphi y posee un servidor de control que es el que se encarga de enviar comandos a los dispositivos infectados y almacenar la información recopilada por las copias de la amenaza antes de proceder al cifrado del contenidos del sistema de ficheros.
Los expertos en seguridad han concretado que la amenaza se basta de la API del servicio de mensajería Telegram para enviar y recibir información sin levantar sospechas en el sistema. De esta forma apenas necesita crear recursos adicionales, ya que este programa se vale de los de otros.
Una vez instalado, realiza una copia de seguridad de todos los archivos antes de proceder al cifrado de los mismos. Genera una clave de cifrado y asigna al dispositivo un ID de infección que posteriormente servirá para identificarlo dentro de la botnet.
Telecrypt añade la extensión ".Xcri" a los archivos
Al igual que otras amenazas pertenecientes al grupo de los ransomware, a la hora de aplicar el cifrado sobre los archivos añade una extensión a los archivos. Si se quiere recuperar el acceso a los mismo, tal y como es de suponer, se debe pasar por caja, solicitando a los usuarios el pago de la cantidad de 77 dólares.
A diferencia de otras amenazas en las que los usuarios desde el propio equipo puedne realizar esta operación y ponerse en contacto con los ciberdleincuentes, Telecrypt ofrece una página web con una interfaz que permitirá realizar el pago y resolver posibles dudas relacionadas con el proceso.
Se distribuye a través de páginas web hackeadas
En la actualidad se trata de una de las vías de difución más utilizadas, sobre todo porque la infraestructura de distribuir las copias es entre comilas gratuita. Las seguridad de los gestores de páginas web deja mucho que desear, sobre todo a nivel de credenciales de acceso al gestor de contenidos, ofreciendo a los ciberdelincuentes la posibilidad de subir la amenaza y distribuirla.