Neobișnuitul ransomware TeleCrypt, cunoscut pentru deturnarea aplicației de mesagerie Telegram pentru a comunica cu atacatorii, mai degrabă decât pentru protocoalele simple bazate pe HTTP, nu mai reprezintă o amenințare pentru utilizatori. Mulțumim analistului malware pentru Malwarebytes Nathan Scott împreună cu echipa sa de la Kaspersky Lab, tulpina ransomware-ului a fost crăpată la doar câteva săptămâni de la lansare.
Au reușit să descopere un defect major al ransomware-ului, dezvăluind slăbiciunea algoritmului de criptare utilizat de TeleCrypt infectat. Acesta a criptat fișierele prin buclă prin ele cu un singur octet la un moment dat și apoi adăugând un octet din cheie în ordine. Această metodă simplă de criptare a permis cercetătorilor de securitate o modalitate de a trece prin codul rău intenționat.
Ceea ce a făcut acest ransomware neobișnuit a fost canalul său de comunicații client-server de comandă și control (C&C), motiv pentru care operatorii au ales să coopteze Protocolul Telegram în loc de HTTP / HTTPS, așa cum fac majoritatea ransomware-urilor în zilele noastre - chiar dacă vectorul a fost vizibil scăzut și a vizat utilizatorii ruși cu primul său versiune. Rapoartele sugerează că utilizatorii ruși care au descărcat neintenționat fișiere infectate și le-au instalat după ce au căzut pradă atacurilor de phishing li s-a arătat o pagină de avertisment care șantajează utilizatorul să plătească o răscumpărare pentru a le recupera fișiere. În acest caz, victimelor li se cere să plătească 5.000 de ruble (77 USD) pentru așa-numitul „Fond pentru tineri programatori”.
Ransomware-ul vizează peste o sută de tipuri de fișiere diferite, inclusiv jpg, xlsx, docx, mp3, 7z, torrent sau ppt.
instrument de decriptare, Malwarebytes, permite victimelor să-și recupereze fișierele fără a plăti. Cu toate acestea, aveți nevoie de o versiune necriptată a unui fișier blocat pentru a acționa ca un exemplu generați o cheie de decriptare funcțională. Puteți face acest lucru conectându-vă la conturile dvs. de e-mail, serviciile de sincronizare a fișierelor (Dropbox, Box) sau de la copiile de rezervă mai vechi ale sistemului, dacă ați făcut vreunul.
După ce decriptorul găsește cheia de criptare, acesta va prezenta utilizatorului opțiunea de a decripta o listă a tuturor fișierelor criptate sau dintr-un folder specific.
Procesul funcționează astfel: programul de decriptare verifică fișierele pe care le furnizați. Dacă fișierele se potrivesc și sunt criptate de schema de criptare pe care o utilizează Telecrypt, apoi sunteți navigat la a doua pagină a interfeței programului. Telecrypt păstrează o listă a tuturor fișierelor criptate la „% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Puteți obține decriptorul de ransomware Telecrypt creat de Malwarebytes din acest link Casetă.
