Το ασυνήθιστο ransomware TeleCrypt, γνωστό για την παραβίαση της εφαρμογής μηνυμάτων Telegram για επικοινωνία με επιτιθέμενους αντί για απλά πρωτόκολλα που βασίζονται σε HTTP, δεν αποτελεί πλέον απειλή για τους χρήστες. Χάρη στον αναλυτή κακόβουλου λογισμικού για Malwarebytes Ο Nathan Scott μαζί με την ομάδα του στο Kaspersky Lab, το στέλεχος του ransomware έχει σπάσει λίγες εβδομάδες μετά την κυκλοφορία του.
Κατάφεραν να αποκαλύψουν ένα μεγάλο ελάττωμα στο ransomware αποκαλύπτοντας την αδυναμία του αλγορίθμου κρυπτογράφησης που χρησιμοποιείται από το μολυσμένο TeleCrypt. Κρυπτογράφησε αρχεία με βρόχο μέσω ενός μόνο byte κάθε φορά και στη συνέχεια προσθέτοντας ένα byte από το κλειδί με τη σειρά. Αυτή η απλή μέθοδος κρυπτογράφησης επέτρεψε στους ερευνητές ασφαλείας έναν τρόπο να σπάσουν τον κακόβουλο κώδικα.
Αυτό που έκανε αυτό το ransomware ασυνήθιστο ήταν το κανάλι επικοινωνίας πελάτη-διακομιστή εντολών και ελέγχου (C&C), γι 'αυτό οι χειριστές επέλεξαν να Το πρωτόκολλο Telegram αντί για HTTP / HTTPS όπως κάνουν τα περισσότερα ransomware αυτές τις μέρες - παρόλο που ο φορέας ήταν αισθητά χαμηλός και στόχευσε Ρώσους χρήστες με το εκδοχή. Οι αναφορές δείχνουν ότι οι Ρώσοι χρήστες που κατέβασαν ακούσια μολυσμένα αρχεία και τα εγκατέστησαν μετά την πτώση Το θύμα των επιθέσεων ηλεκτρονικού ψαρέματος εμφανίστηκε μια προειδοποιητική σελίδα που εκβιάζει τον χρήστη για να πληρώσει λύτρα για να τα ανακτήσει αρχεία. Σε αυτήν την περίπτωση, τα θύματα καλούνται να πληρώσουν 5.000 ρούβλια (77 $) για το λεγόμενο «Ταμείο νέων προγραμματιστών».
Το ransomware στοχεύει σε περισσότερους από εκατό διαφορετικούς τύπους αρχείων όπως jpg, xlsx, docx, mp3, 7z, torrent ή ppt.
ο εργαλείο αποκρυπτογράφησης, Malwarebytes, επιτρέπει στα θύματα να ανακτήσουν τα αρχεία τους χωρίς πληρωμή. Ωστόσο, χρειάζεστε μια μη κρυπτογραφημένη έκδοση ενός κλειδωμένου αρχείου για να ενεργήσετε ως δείγμα δημιουργήστε ένα κλειδί αποκρυπτογράφησης που λειτουργεί. Μπορείτε να το κάνετε κάνοντας είσοδο στους λογαριασμούς email σας, στις υπηρεσίες συγχρονισμού αρχείων (Dropbox, Box) ή από παλαιότερα αντίγραφα ασφαλείας του συστήματος εάν κάνατε κάτι.
Αφού ο αποκρυπτογράφος εντοπίσει το κλειδί κρυπτογράφησης, τότε θα παρουσιάσει στον χρήστη την επιλογή να αποκρυπτογραφήσει μια λίστα με όλα τα κρυπτογραφημένα αρχεία ή από έναν συγκεκριμένο φάκελο.
Η διαδικασία λειτουργεί ως εξής: Το πρόγραμμα αποκρυπτογράφησης επαληθεύει τα αρχεία που παρέχετε. Εάν τα αρχεία ταιριάζουν και κρυπτογραφούνται από το σχήμα κρυπτογράφησης που χρησιμοποιεί το Telecrypt, στη συνέχεια μεταβαίνετε στη δεύτερη σελίδα της διεπαφής προγράμματος. Το Telecrypt διατηρεί μια λίστα με όλα τα κρυπτογραφημένα αρχεία στο "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"
Μπορείτε να αποκτήσετε τον αποκρυπτογράφο Telecrypt ransomware που δημιουργήθηκε από την Malwarebytes από αυτόν τον σύνδεσμο Box.
