Neobvyklý ransomware TeleCrypt, známý únosem aplikace pro zasílání zpráv Telegram pro komunikaci s útočníky, spíše než jednoduchými protokoly založenými na protokolu HTTP, již pro uživatele není hrozbou. Díky analytikovi malwaru pro Malwarebytes Nathan Scott spolu se svým týmem v laboratoři Kaspersky Lab, kmen ransomwaru byl prolomen jen několik týdnů po jeho vydání.
Podařilo se jim odhalit hlavní chybu v ransomwaru odhalením slabosti šifrovacího algoritmu používaného infikovaným TeleCryptem. Šifrovalo soubory tak, že je procházel po jednom bajtu a poté přidal bajt z klíče v pořadí. Tato jednoduchá metoda šifrování umožnila výzkumníkům v oblasti bezpečnosti prolomit škodlivý kód.
Co způsobilo, že tento ransomware byl neobvyklý, byl jeho komunikační a komunikační kanál typu klient-server (C&C), a proto se operátoři rozhodli kooptovat Telegramový protokol namísto HTTP / HTTPS jako většina dnešních ransomware - i když vektor byl znatelně nízký a jeho prvními cíli na ruské uživatele verze. Zprávy naznačují, že ruští uživatelé, kteří neúmyslně stáhli infikované soubory a nainstalovali je po pádu kořistí phishingových útoků byla zobrazena varovná stránka vydírat uživatele, aby zaplatil výkupné za získání jejich soubory. V tomto případě se požaduje, aby oběti zaplatily 5 000 rublů (77 $) za takzvaný „Fond mladých programátorů“.
Ransomware se zaměřuje na více než sto různých typů souborů, včetně jpg, xlsx, docx, mp3, 7z, torrent nebo ppt.
The dešifrovací nástroj„Malwarebytes“ umožňuje obětem obnovit své soubory bez placení. Potřebujete však nezašifrovanou verzi uzamčeného souboru, aby fungovala jako ukázka vygenerovat funkční dešifrovací klíč. Můžete tak učinit po přihlášení ke svým e-mailovým účtům, službám synchronizace souborů (Dropbox, Box) nebo ze starších záloh systému, pokud jste nějaké vytvořili.
Poté, co decryptor najde šifrovací klíč, nabídne uživateli možnost dešifrovat seznam všech šifrovaných souborů nebo z jedné konkrétní složky.
Proces funguje jako takový: Dešifrovací program ověří vámi poskytnuté soubory. Pokud se soubory shodují a jsou šifrovány šifrovacím schématem, které používá Telecrypt, pak jste navigováni na druhou stránku rozhraní programu. Telecrypt uchovává seznam všech šifrovaných souborů na „% USERPROFILE% \ Desktop \ База зашифр файлов.txt“
Můžete získat dešifrování ransomwaru Telecrypt vytvořené uživatelem Malwarebytes z tohoto odkazu Box.
