Необычная программа-вымогатель TeleCrypt, известная тем, что взламывает приложение для обмена сообщениями Telegram для связи со злоумышленниками, а не с простыми протоколами на основе HTTP, больше не представляет угрозы для пользователей. Спасибо аналитику вредоносных программ за Malwarebytes Натан Скотт и его команда в «Лаборатории Касперского» взломали вирус-вымогатель всего через несколько недель после его выпуска.
Им удалось обнаружить серьезную ошибку в программе-вымогателе, выявив слабость алгоритма шифрования, используемого зараженным TeleCrypt. Он шифрует файлы, просматривая их по одному байту за раз, а затем добавляя байт из ключа по порядку. Этот простой метод шифрования позволил исследователям безопасности найти способ взломать вредоносный код.
Что делало эту программу-вымогатель необычной, так это его канал связи клиент-сервер управления и контроля (C&C), поэтому операторы предпочли кооптировать Протокол Telegram вместо HTTP / HTTPS, как в наши дни большинство программ-вымогателей, хотя вектор был заметно низким и нацелился на российских пользователей с его первым версия. В отчетах говорится, что российские пользователи, которые случайно загрузили зараженные файлы и установили их после падения жертвам фишинговых атак была показана страница с предупреждением, на которой пользователя шантажировали, заставляя заплатить выкуп за получение своих файлы. В этом случае от потерпевших требуют выплатить 5 000 рублей (77 долларов) в так называемый «Фонд молодых программистов».
Программа-вымогатель нацелена на более сотни различных типов файлов, включая jpg, xlsx, docx, mp3, 7z, torrent или ppt.
В инструмент дешифрования, Malwarebytes, позволяет жертвам восстанавливать свои файлы без оплаты. Однако вам нужна незашифрованная версия заблокированного файла, чтобы служить образцом для сгенерировать рабочий ключ дешифрования. Вы можете сделать это, войдя в свои учетные записи электронной почты, службы синхронизации файлов (Dropbox, Box) или из старых резервных копий системы, если вы их сделали.
После того, как дешифратор найдет ключ шифрования, он предоставит пользователю возможность расшифровать список всех зашифрованных файлов или из одной конкретной папки.
Процесс работает следующим образом: программа дешифрования проверяет файлы, которые вы предоставляете.. Если файлы совпадают а также зашифрованы с помощью схемы шифрования, которую использует Telecrypt, затем вы попадаете на вторую страницу интерфейса программы. Telecrypt хранит список всех зашифрованных файлов в «% USERPROFILE% \ Desktop \ База зашифр файлов.txt»
Вы можете получить дешифратор программ-вымогателей Telecrypt, созданный Malwarebytes из этого ящика ссылка.
