Epätavallinen lunnasohjelma TeleCrypt, joka tunnetaan kaappaamasta viestisovellus Telegram kommunikoimaan hyökkääjien kanssa yksinkertaisten HTTP-pohjaisten protokollien sijaan, ei enää ole uhka käyttäjille. Kiitos haittaohjelmien analyytikoille Malwarebytes Nathan Scott yhdessä Kaspersky Lab -tiiminsä kanssa, ransomware-kanta on murtunut vain viikkoja julkaisun jälkeen.
He pystyivät paljastamaan lunnasohjelman merkittävän puutteen paljastamalla tartunnan saaneen TeleCryptin käyttämän salausalgoritmin heikkouden. Se salasi tiedostot silmukoiden läpi yhden tavun kerrallaan ja lisäämällä sitten tavun avaimesta järjestyksessä. Tämä yksinkertainen salausmenetelmä antoi tietoturvatutkijoille mahdollisuuden murtautua haitalliseen koodiin.
Mikä teki tämän lunnasohjelman harvinaiseksi, oli sen komento ja hallinta (C & C) asiakas-palvelin -viestintäkanava, minkä vuoksi operaattorit päättivät valita Telegramprotokolla HTTP / HTTPS: n sijaan, kuten useimmat ransomware tekevät nykyään - vaikka vektori oli huomattavan matala ja kohdistanut venäläisiä käyttäjiä ensimmäisellä versio. Raportit viittaavat siihen, että venäläiset käyttäjät, jotka lataavat tahattomasti tartunnan saaneet tiedostot ja asentivat ne pudotessaan tietojenkalasteluhyökkäysten saalille näytettiin varoitussivu, joka kiristää käyttäjän maksamaan lunnaita hakemuksensa vuoksi tiedostot. Tällöin uhreilta vaaditaan 5 000 ruplaa (77 dollaria) niin sanotusta "nuorten ohjelmoijien rahastosta".
Lunnasohjelma haastaa yli sadan eri tiedostotyypin, mukaan lukien JPG, XlsX, Docx, mp3, 7z, torrent tai ppt.
salauksen purkutyökalu, Malwarebytes, antaa uhrien palauttaa tiedostot maksamatta. Tarvitset kuitenkin lukitsemattoman tiedoston salaamattoman version toimiakseen näytteenä luoda toimiva salauksen avain. Voit tehdä sen kirjautumalla sisään sähköpostitileillesi, tiedostojen synkronointipalveluihin (Dropbox, Box) tai vanhemmista järjestelmän varmuuskopioista, jos olet tehnyt sellaisia.
Kun salauksenpuristaja löytää salausavaimen, se antaa käyttäjälle mahdollisuuden purkaa kaikkien salattujen tiedostojen luettelo tai yhdestä tietystä kansiosta.
Prosessi toimii sellaisenaan: Salauksen purkuohjelma tarkistaa toimittamasi tiedostot. Jos tiedostot vastaavat ja on salattu Telecrypt-salauksen avulla, sinut navigoidaan sitten ohjelman käyttöliittymän toiselle sivulle. Telecrypt pitää luetteloa kaikista salatuista tiedostoista osoitteessa "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"
Voit hankkia Telecrypt ransomware decryptorin, jonka on luonut Malwarebytes tästä Box-linkistä.
