Как это работает
Создатели троянской программы получили от серверов Telegram уникальный токен, который идентифицирует бота, и встроили его в код шифровальщика. За счет этого зловред может использовать публичный API мессенджера и обмениваться информацией с хакерами.
Троян сообщает о заражении компьютера в определенном чате
Для шифрования файлов зловред использует один из самых простых методов. Кроме того, иногда шифровальщик изменяет расширение зашифрованных файлов на . Xcri. Антивирусные продукты «Лаборатории Касперского» идентифицируют троян как Trojan-Ransom.Win32.Telecrypt.
После обработки файлов троян требует от пользователей выкуп в размере 5000 рублей на Qiwi- или Яндекс-кошелек:
Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского, заявил:
Если вы стали жертвой этого шифровальщика, мы убедительно просим вас не платить злоумышленникам. Можно обратиться в нашу службу поддержки, и мы поможем расшифровать файлы.