Neparastā ransomware TeleCrypt, kas pazīstama ar ziņojumapmaiņas lietotnes Telegram nolaupīšanu, lai sazinātos ar uzbrucējiem, nevis vienkāršus HTTP protokolus, lietotājiem vairs nedraud. Paldies ļaunprātīgas programmatūras analītiķim Malwarebytes Neitans Skots kopā ar savu komandu Kaspersky Lab ransomware spriedze ir salauzts tikai dažas nedēļas pēc tā izlaišanas.
Viņi spēja atklāt lielu izpirkumu programmatūras trūkumu, atklājot inficētā TeleCrypt izmantotā šifrēšanas algoritma vājumu. Tas šifrēja failus, cilpa caur tiem pa vienam baitam un pēc tam secībā pievienojot baitu no atslēgas. Šī vienkāršā šifrēšanas metode ļāva drošības pētniekiem izlauzties no ļaunprātīgā koda.
Kas padarīja šo ransomware neparastu, bija tā komandas un servera (C&C) klienta-servera sakaru kanāls, tāpēc operatori izvēlējās izvēlēties Telegrammas protokols, nevis HTTP / HTTPS, tāpat kā mūsdienās to dara lielākā daļa izpirkumprogrammatūru - kaut arī vektors bija ievērojami zems un mērķēja Krievijas lietotājus ar pirmo versija. Pārskati liecina, ka Krievijas lietotāji, kuri nejauši lejupielādēja inficētos failus un pēc kritiena tos instalēja par pikšķerēšanas uzbrukumu upuri tika parādīta brīdinājuma lapa, kas šantažēja lietotāju, lai samaksātu izpirkuma maksu par viņu izgūšanu failus. Šajā gadījumā cietušajiem tiek prasīts samaksāt 5000 rubļu (77 USD) par tā dēvēto “Jauno programmētāju fondu”.
Ransomware mērķis ir vairāk nekā simts dažādu failu tipu, tostarp JPG, XlsX, Docx, mp3, 7z, torrent vai ppt.
The atšifrēšanas rīks, Malwarebytes, ļauj upuriem atgūt savus failus, nemaksājot. Tomēr, lai darbotos kā paraugs, jums ir nepieciešama nešifrēta bloķēta faila versija ģenerēt darba atšifrēšanas atslēgu. To var izdarīt, piesakoties savos e-pasta kontos, failu sinhronizācijas pakalpojumos (Dropbox, Box) vai no vecākām sistēmas dublējumkopijām, ja tādas esat izveidojis.
Pēc tam, kad atšifrētājs ir atradis šifrēšanas atslēgu, tas lietotājiem parādīs iespēju atšifrēt visu šifrēto failu sarakstu vai no vienas konkrētas mapes.
Process darbojas šādi: atšifrēšanas programma pārbauda jūsu iesniegtos failus. Ja faili sakrīt un tiek šifrēta ar šifrēšanas shēmu Telecrypt, pēc tam jūs pārvietojaties uz programmas saskarnes otro lapu. Telecrypt saglabā visu šifrēto failu sarakstu vietnē “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Jūs varat iegūt Telecrypt ransomware atšifrētāju, kuru izveidoja Malwarebytes no šīs lodziņa saites.
