Den usædvanlige ransomware TeleCrypt, der er kendt for at kapre messaging-appen Telegram for at kommunikere med angribere i stedet for enkle HTTP-baserede protokoller, er ikke længere en trussel for brugerne. Tak til malware-analytiker for Malwarebytes Nathan Scott sammen med sit team hos Kaspersky Lab er stammen af ransomware blevet revnet kun få uger efter frigivelsen.
De var i stand til at afdække en større fejl i ransomware ved at afsløre svagheden ved krypteringsalgoritmen, der blev brugt af den inficerede TeleCrypt. Det krypterede filer ved at løkke en enkelt byte ad gangen gennem dem og derefter tilføje en byte fra nøglen i rækkefølge. Denne enkle krypteringsmetode tillod sikkerhedsforskere en måde at sprænge igennem den ondsindede kode.
Hvad der gjorde denne ransomware usædvanlig var dens kommando- og kontrol (C&C) klient-server kommunikationskanal, hvorfor operatørerne valgte at kooptere Telegram-protokol i stedet for HTTP / HTTPS som de fleste ransomware gør i disse dage - selvom vektoren var mærkbart lav og målrettede russiske brugere med sin første version. Rapporter antyder, at russiske brugere, der utilsigtet downloadede inficerede filer og installerede dem efter fald bytte til phishing-angreb blev vist en advarselsside, der afpresser brugeren til at betale en løsesum for at hente deres filer. I dette tilfælde kræves det, at ofrene betaler 5.000 rubler (77 $) for den såkaldte "Young Programmers Fund."
Ransomware er rettet mod over hundrede forskellige filtyper, herunder jpg, xlsx, docx, mp3, 7z, torrent eller ppt.
Det dekrypteringsværktøj, Malwarebytes, tillader ofre at gendanne deres filer uden at betale. Du har dog brug for en ukrypteret version af en låst fil for at fungere som en prøve for generere en fungerende dekrypteringsnøgle. Du kan gøre det ved at logge ind på dine e-mail-konti, filsynkroniseringstjenester (Dropbox, Box) eller fra ældre systembackups, hvis du lavede nogen.
Når dekrypteren finder krypteringsnøglen, vil den derefter give brugeren mulighed for at dekryptere en liste over alle krypterede filer eller fra en bestemt mappe.
Processen fungerer som sådan: Dekrypteringsprogrammet verificerer de filer, du leverer. Hvis filerne stemmer overens og er krypteret af krypteringsordningen Telecrypt bruger, navigeres du derefter til anden side af programgrænsefladen. Telecrypt holder en liste over alle krypterede filer på “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Du kan få Telecrypt ransomware decryptor oprettet af Malwarebytes fra dette Box-link.
