O ransomware TeleCrypt incomum, conhecido por sequestrar o aplicativo de mensagens Telegram para se comunicar com os invasores, em vez de protocolos simples baseados em HTTP, não é mais uma ameaça para os usuários. Obrigado ao analista de malware por Malwarebytes Nathan Scott, junto com sua equipe do Kaspersky Lab, o tipo de ransomware foi quebrado apenas algumas semanas após seu lançamento.
Eles foram capazes de descobrir uma grande falha no ransomware, revelando a fraqueza do algoritmo de criptografia usado pelo TeleCrypt infectado. Ele criptografou os arquivos percorrendo-os em um único byte de cada vez e, em seguida, adicionando um byte da chave na ordem. Este método simples de criptografia permitiu aos pesquisadores de segurança uma maneira de quebrar o código malicioso.
O que tornou este ransomware incomum foi seu canal de comunicação cliente-servidor de comando e controle (C&C), razão pela qual as operadoras optaram por cooptar o Protocolo Telegram em vez de HTTP / HTTPS como a maioria dos ransomware faz atualmente - embora o vetor fosse visivelmente baixo e visasse os usuários russos com seu primeiro versão. Os relatórios sugerem que os usuários russos que baixaram acidentalmente arquivos infectados e os instalaram após a queda vítimas de ataques de phishing foram mostradas uma página de aviso chantageando o usuário para pagar um resgate para recuperar seu arquivos. Nesse caso, as vítimas são obrigadas a pagar 5.000 rublos (US $ 77) pelo chamado “Fundo para Jovens Programadores”.
O ransomware tem como alvo mais de cem tipos de arquivos diferentes, incluindo jpg, xlsx, docx, mp3, 7z, torrent ou ppt.
O ferramenta de descriptografia, Malwarebytes, permite que as vítimas recuperem seus arquivos sem pagar. No entanto, você precisa de uma versão não criptografada de um arquivo bloqueado para atuar como uma amostra para gerar uma chave de descriptografia funcional. Você pode fazer isso fazendo login em suas contas de e-mail, serviços de sincronização de arquivos (Dropbox, Box) ou a partir de backups de sistema mais antigos, se você tiver feito algum.
Depois que o descriptografador encontrar a chave de criptografia, ele apresentará ao usuário a opção de descriptografar uma lista de todos os arquivos criptografados ou de uma pasta específica.
O processo funciona da seguinte forma: O programa de descriptografia verifica os arquivos que você fornece. Se os arquivos corresponderem e são criptografados pelo esquema de criptografia usado pelo Telecrypt, você é então navegado para a segunda página da interface do programa. O telecrypt mantém uma lista de todos os arquivos criptografados em “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Você pode obter o descriptografador de ransomware Telecrypt criado por Malwarebytes deste link de caixa.
