Neįprasta išpirkos programa „TeleCrypt“, žinoma dėl to, kad užgrobė pranešimų programėlę „Telegram“, kad galėtų bendrauti su užpuolikais, o ne paprastais HTTP pagrįstais protokolais, nebekelia grėsmės vartotojams. Ačiū kenkėjiškų programų analitikui Malwarebytes Natanas Scottas kartu su savo komanda „Kaspersky Lab“ išpirkos programinės įrangos padermėje buvo įtrūkęs praėjus kelioms savaitėms po jos išleidimo.
Jie sugebėjo atskleisti pagrindinį išpirkos programos trūkumą, atskleisdami užkrėstos „TeleCrypt“ naudojamos šifravimo algoritmo silpnybes. Jis užšifravo failus, sukurdamas juos po vieną baitą vienu metu ir tada eilės tvarka pridėdamas baitą iš rakto. Šis paprastas šifravimo metodas leido saugumo tyrinėtojams įveikti kenkėjišką kodą.
Tai, dėl ko ši išpirkos programa tapo neįprasta, buvo jos komandų ir valdymo (C&C) kliento ir serverio ryšių kanalas, todėl operatoriai pasirinko pasirinkti Telegramos protokolas, o ne HTTP / HTTPS, kaip tai daro dauguma išpirkos programinių programų šiais laikais, nors vektorius buvo pastebimai žemas ir jo vartotojai buvo nukreipti į pirmąjį versija. Ataskaitos rodo, kad Rusijos vartotojai, netyčia parsisiuntę užkrėstus failus ir įkritę, juos įdiegė sukčiavimui iš sukčiavimo atakų buvo parodytas įspėjamasis puslapis, šantažuojantis vartotoją sumokėti išpirką už jų paėmimą failus. Šiuo atveju aukoms reikalaujama sumokėti 5000 rublių (77 USD) už vadinamąjį „Jaunųjų programuotojų fondą“.
Išpirkos programa skirta daugiau nei šimtui skirtingų failų tipų, įskaitant JPG, XlsX, Docx, mp3, 7z, torrent ar ppt.
The iššifravimo įrankis, Malwarebytes, leidžia aukoms atgauti savo bylas nemokant. Tačiau jums reikia neužšifruoto užrakinto failo versijos, kad galėtumėte veikti kaip pavyzdys sugeneruoti veikiantį iššifravimo raktą. Tai galite padaryti prisijungę prie savo el. Pašto abonementų, failų sinchronizavimo paslaugų („Dropbox“, „Box“) arba iš senesnių sistemos atsarginių kopijų, jei tokių padarėte.
Dešifruotojui radus šifravimo raktą, jis vartotojui pateiks galimybę iššifruoti visų šifruotų failų sąrašą arba iš vieno konkretaus aplanko.
Procesas veikia taip: iššifravimo programa patikrina jūsų pateiktus failus. Jei failai sutampa ir yra užšifruoti naudojant „Telecrypt“ šifravimo schemą, tada jūs einate į antrąjį programos sąsajos puslapį. „Telecrypt“ saugo visų užšifruotų failų sąrašą „% USERPROFILE% \ Desktop \ База зашифр файлов.txt“
Galite gauti „Telecrypt“ išpirkos programos iššifruotoją, kurį sukūrė Malwarebytes iš šios langelio nuorodos.
