Cabecera-v2-web.jpg

Telecrypt, el nuevo ransomware que afecta a usuarios de Telegram


Parece que la publicación de nuevas amenazas se ha detenido, o al menos se ha reducido el ritmo de llegada a Internet. Los usuarios del servicio de mensajerí­a Telegram tienen una nueva preocupación, ya que los expertos en seguridad han detectado una nueva amenaza bautizada con el nombre de Telecrypt, y que se encarga de cifrar los contenidos del dispositivo afectado.

Se ha detectado por primera vez en Rusia pero se está extendiendo a otros paí­ses con la ayuda inestimable de Internet. Esté escrito en Delphi y posee un servidor de control que es el que se encarga de enviar comandos a los dispositivos infectados y almacenar la información recopilada por las copias de la amenaza antes de proceder al cifrado del contenidos del sistema de ficheros.

Los expertos en seguridad han concretado que la amenaza se basta de la API del servicio de mensajerí­a Telegram para enviar y recibir información sin levantar sospechas en el sistema. De esta forma apenas necesita crear recursos adicionales, ya que este programa se vale de los de otros.

Una vez instalado, realiza una copia de seguridad de todos los archivos antes de proceder al cifrado de los mismos. Genera una clave de cifrado y asigna al dispositivo un ID de infección que posteriormente servirá para identificarlo dentro de la botnet.

Telecrypt añade la extensión .Xcri a los archivos

Al igual que otras amenazas pertenecientes al grupo de los ransomware, a la hora de aplicar el cifrado sobre los archivos añade una extensión a los archivos. Si se quiere recuperar el acceso a los mismo, tal y como es de suponer, se debe pasar por caja, solicitando a los usuarios el pago de la cantidad de 77 dólares.

A diferencia de otras amenazas en las que los usuarios desde el propio equipo puedne realizar esta operación y ponerse en contacto con los ciberdleincuentes, Telecrypt ofrece una página web con una interfaz que permitirá realizar el pago y resolver posibles dudas relacionadas con el proceso.

Se distribuye a través de páginas web hackeadas

En la actualidad se trata de una de las ví­as de difución más utilizadas, sobre todo porque la infraestructura de distribuir las copias es entre comilas gratuita. Las seguridad de los gestores de páginas web deja mucho que desear, sobre todo a nivel de credenciales de acceso al gestor de contenidos, ofreciendo a los ciberdelincuentes la posibilidad de subir la amenaza y distribuirla.


Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11