TeleCrypt-ul ransomware neobișnuit, cunoscut pentru deturnarea aplicației de mesagerie Telegram pentru a comunica cu atacatorii, mai degrabă decât simple protocoale bazate pe HTTP, nu mai reprezintă o amenințare pentru utilizatori. Datorită analistului malware pentru Malwarebytes Nathan Scott împreună cu echipa sa de la Kaspersky Lab, tulpina ransomware-ului a fost crăpată la doar câteva săptămâni de la lansare.

Au fost capabili să descopere un defect major în ransomware-ul prin relevarea slăbiciunii algoritmului de criptare utilizat de TeleCrypt infectat. Acesta cripta fișierele prin bucla prin ele un singur octet la un moment dat și apoi adăugarea unui octet din cheie în ordine. Această metodă simplă de criptare a permis cercetătorilor de securitate o modalitate de a sparge codul rău intenționat.

Ceea ce a făcut ca acest ransomware să fie neobișnuit a fost canalul de comunicații client-server (C&C) al acestuia, motiv pentru care operatorii au ales să coopteze protocolul Telegram în loc de HTTP / HTTPS, cum fac majoritatea ransomware-urilor în aceste zile - chiar dacă vectorul era vizibil utilizatori ruși mici și vizați cu prima versiune. Rapoartele sugerează că utilizatorilor ruși care au descărcat neintenționat fișierele infectate și le-au instalat după căderea pradă atacurilor de phishing li s-a arătat o pagină de avertizare care șantajează utilizatorul să plătească o răscumpărare pentru a-și recupera fișierele. În acest caz, victimelor li se cere să plătească 5.000 de ruble (77 dolari) pentru așa-numitul „Fond pentru programatori tineri”.

Ransomware-ul vizează peste sute de tipuri de fișiere diferite, inclusiv jpg, xlsx, docx, mp3, 7z, torrent sau ppt.

Instrumentul de decriptare, Malwarebytes, permite victimelor să își recupereze fișierele fără să plătească. Cu toate acestea, aveți nevoie de o versiune necriptată a unui fișier blocat pentru a acționa ca un exemplu pentru a genera o cheie de decriptare funcțională. Puteți face acest lucru conectându-vă la conturile dvs. de e-mail, la serviciile de sincronizare a fișierelor (Dropbox, Box) sau la copii de rezervă mai vechi, dacă ați făcut vreunul.

După ce decriptorul va găsi cheia de criptare, acesta va prezenta utilizatorului opțiunea de a decripta o listă cu toate fișierele criptate sau dintr-un folder specific.

Procesul funcționează ca atare: Programul de decriptare verifică fișierele pe care le furnizați . Dacă fișierele se potrivesc și sunt criptate de schema de criptare pe care le utilizează Telecrypt, atunci veți naviga către a doua pagină a interfeței programului. Telecrypt păstrează o listă cu toate fișierele criptate la „% USERPROFILE% \ Desktop \ Desktop \ База зашифр файлов.txt”

Puteți obține decriptorul ransomware ransomware creat de Malwarebytes din acest link Box.