l+f: Erpressungs-Trojaner chattet verschlüsselt nach Hause

Sicherheitsforscher von Kaspersky haben den Verschlüsselungs-TrojanerTeleCrypt analysiert und herausgefunden, dass der Schädling nicht wie gewohnt mit den Kriminellen Kontakt hält.

Normalerweise funkt Ransomware per HTTPS an die Command-and-Control-Server. TeleCrypt soll zur Kommunikation mit den Drahtziehern hingegen auf die öffentliche API des Krypto-Messengers Telegram setzen. Damit das klappt, haben die Kriminellen Kaspersky zufolge einen Telegram Bot aufgesetzt, um so Nachrichten wie „Infektion erfolgreich“ über ihre Mobilfunknummer empfangen zu können.

Bei der Verschlüsselung der Daten von Opfern haben die Malware-Entwickler aber offensichtlich geschlampt: Mittlerweile stellt Malwarebytes ein kostenloses Entschlüsselungstool zur Verfügung.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(des)