Необичайният рансъмуер TeleCrypt, известен с отвличането на приложението за съобщения Telegram, за да комуникира с нападатели, а не с прости HTTP-базирани протоколи, вече не представлява заплаха за потребителите. Благодаря на анализатора на зловреден софтуер за Malwarebytes Нейтън Скот, заедно с екипа му в Лабораторията на Касперски, щамът на рансъмуера е разбит само седмици след пускането му.
Те успяха да открият голям недостатък в рансъмуера, разкривайки слабостта на алгоритъма за криптиране, използван от заразения TeleCrypt. Той шифрова файлове, като преглежда през тях по един байт наведнъж и след това добавя байт от ключа по ред. Този прост метод на криптиране позволи на изследователите по сигурността да проникнат през злонамерения код.
Това, което направи този рансъмуер необичаен, беше неговият канал за комуникация клиент-сървър (C&C), поради което операторите избраха да кооптират Протокол Telegram вместо HTTP / HTTPS, както правят повечето рансъмуери в наши дни - въпреки че векторът беше забележимо нисък и насочи руските потребители с първите си версия. Докладите предполагат, че руски потребители, които неволно са изтеглили заразени файлове и са ги инсталирали след падане жертва на фишинг атаки бяха показани предупредителна страница, изнудваща потребителя да плати откуп, за да извлече своите файлове. В този случай от жертвите се изисква да платят 5000 рубли (77 долара) за така наречения „Фонд за млади програмисти“.
Рансъмуерът е насочен към над сто различни типове файлове, включително jpg, xlsx, docx, mp3, 7z, торент или ppt.
The инструмент за дешифриране, Malwarebytes, позволява на жертвите да възстановят своите файлове, без да плащат. Трябва ви обаче нешифрована версия на заключен файл, за да действате като пример генерирайте работещ ключ за дешифриране. Можете да го направите, като влезете в имейл акаунтите си, услугите за синхронизиране на файлове (Dropbox, Box) или от по-стари резервни копия на системата, ако сте направили такива.
След като декрипторът намери ключа за шифроване, той ще представи на потребителя опцията да дешифрира списък на всички криптирани файлове или от една конкретна папка.
Процесът работи като такъв: Програмата за дешифриране проверява предоставените от вас файлове. Ако файловете съвпадат и са криптирани от схемата за кодиране, използвана от Telecrypt, след това се придвижвате до втората страница на програмния интерфейс. Telecrypt поддържа списък на всички криптирани файлове на „% USERPROFILE% \ Desktop \ База зашифр файлове.txt“
Можете да получите декриптора на рансъмуер Telecrypt, създаден от Malwarebytes от тази връзка в полето.
![Какво е Win32: Bogent [susp] и как да го премахнете завинаги](/f/656f7283687d1e4f52c13a95d0dbe470.jpg?width=300&height=460)