Seguridad

Telecrypt, el nuevo ransomware que afecta a usuarios de Telegram

Parece que la publicación de nuevas amenazas se ha detenido, o al menos se ha reducido el ritmo de llegada a Internet. Los usuarios del servicio de mensajería Telegram tienen una nueva preocupación, ya que los expertos en seguridad han detectado una nueva amenaza bautizada con el nombre de Telecrypt, y que se encarga de cifrar los contenidos del dispositivo afectado.

Se ha detectado por primera vez en Rusia pero se está extendiendo a otros países con la ayuda inestimable de Internet. Esté escrito en Delphi y posee un servidor de control que es el que se encarga de enviar comandos a los dispositivos infectados y almacenar la información recopilada por las copias de la amenaza antes de proceder al cifrado del contenidos del sistema de ficheros.

Los expertos en seguridad han concretado que la amenaza se basta de la API del servicio de mensajería Telegram para enviar y recibir información sin levantar sospechas en el sistema. De esta forma apenas necesita crear recursos adicionales, ya que este programa se vale de los de otros.

Una vez instalado, realiza una copia de seguridad de todos los archivos antes de proceder al cifrado de los mismos. Genera una clave de cifrado y asigna al dispositivo un ID de infección que posteriormente servirá para identificarlo dentro de la botnet.

Telecrypt añade la extensión  .Xcri a los archivos

Al igual que otras amenazas pertenecientes al grupo de los ransomware, a la hora de aplicar el cifrado sobre los archivos añade una extensión a los archivos. Si se quiere recuperar el acceso a los mismo, tal y como es de suponer, se debe pasar por caja, solicitando a los usuarios el pago de la cantidad de 77 dólares.

A diferencia de otras amenazas en las que los usuarios desde el propio equipo puedne realizar esta operación y ponerse en contacto con los ciberdleincuentes, Telecrypt ofrece una página web con una interfaz que permitirá realizar el pago y resolver posibles dudas relacionadas con el proceso.

Se distribuye a través de páginas web hackeadas

En la actualidad se trata de una de las vías de difución más utilizadas, sobre todo porque la infraestructura de distribuir las copias es entre comilas gratuita. Las seguridad de los gestores de páginas web deja mucho que desear, sobre todo a nivel de credenciales de acceso al gestor de contenidos, ofreciendo a los ciberdelincuentes la posibilidad de subir la amenaza y distribuirla.

Fuente: Sectorx.com.ar

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.