단순한 HTTP 기반 프로토콜이 아닌 공격자와 통신하기 위해 메시징 앱 Telegram을 하이재킹 한 것으로 알려진 특이한 랜섬웨어 TeleCrypt는 더 이상 사용자에게 위협이되지 않습니다. 멀웨어 분석가 덕분에 Malwarebytes Nathan Scott은 Kaspersky Lab의 팀과 함께 랜섬웨어가 출시 된 지 불과 몇 주 만에 크랙되었습니다.
감염된 TeleCrypt가 사용하는 암호화 알고리즘의 약점을 밝혀 랜섬웨어의 주요 결함을 발견 할 수있었습니다. 한 번에 한 바이트 씩 반복 한 다음 키에서 바이트를 순서대로 추가하여 파일을 암호화했습니다. 이 간단한 암호화 방법을 통해 보안 연구원은 악성 코드를 해독 할 수있었습니다.
이 랜섬웨어를 드물게 만든 이유는 명령 및 제어 (C & C) 클라이언트-서버 통신 채널이었고, 이것이 운영자가 오늘날 대부분의 랜섬웨어처럼 HTTP / HTTPS 대신 텔레 그램 프로토콜은 벡터가 눈에 띄게 낮고 첫 번째로 러시아 사용자를 표적으로 삼았음에도 불구하고 버전. 보고서에 따르면 실수로 감염된 파일을 다운로드하여 설치 한 러시아 사용자가 피싱 공격의 희생자는 사용자가 자신을 검색하기 위해 몸값을 지불하도록 협박하는 경고 페이지를 표시했습니다. 파일. 이 경우 피해자들은 이른바 '젊은 프로그래머 기금'을 위해 5,000 루블 (77 달러)을 지불해야합니다.
랜섬웨어는 jpg, xlsx, docx, mp3, 7z, torrent 또는 ppt를 포함하여 수백 가지가 넘는 파일 유형을 대상으로합니다.
그만큼 해독 도구, Malwarebytes는 피해자가 비용을 지불하지 않고 파일을 복구 할 수 있도록합니다. 그러나 샘플 역할을하려면 잠긴 파일의 암호화되지 않은 버전이 필요합니다. 작동하는 암호 해독 키 생성. 이메일 계정, 파일 동기화 서비스 (Dropbox, Box)에 로그인하거나 이전 시스템 백업 (있는 경우)에서이를 수행 할 수 있습니다.
암호 해독기가 암호화 키를 찾으면 사용자에게 암호화 된 모든 파일 목록 또는 특정 폴더의 암호를 해독하는 옵션을 제공합니다.
프로세스는 다음과 같이 작동합니다. 암호 해독 프로그램은 사용자가 제공 한 파일을 확인합니다.. 파일이 일치하는 경우 과 Telecrypt가 사용하는 암호화 체계에 의해 암호화되면 프로그램 인터페이스의 두 번째 페이지로 이동합니다. Telecrypt는 "% USERPROFILE % \ Desktop \ База зашифр файлов.txt"에 암호화 된 모든 파일 목록을 보관합니다.
Telecrypt ransomware decryptor는 Malwarebytes 이 Box 링크에서.
