Nezvyčajný ransomvér TeleCrypt, známy únosom aplikácie na zasielanie správ Telegram, ktorá slúži na komunikáciu s útočníkmi, a nie jednoduchými protokolmi založenými na protokole HTTP, už pre používateľov nehrozí. Ďakujeme analytikovi škodlivého softvéru pre Malwarebytes Nathan Scott spolu so svojím tímom v laboratóriu Kaspersky Lab kmeň ransomvéru prelomil len pár týždňov po jeho vydaní.
Podarilo sa im odhaliť veľkú chybu v ransomvéri odhalením slabosti šifrovacieho algoritmu použitého infikovaným TeleCryptom. Šifrovalo súbory tak, že ich prekrúcal po jednotlivých bajtoch a potom postupne pridával bajty z kľúča. Táto jednoduchá metóda šifrovania umožnila výskumníkom v oblasti bezpečnosti prekonať škodlivý kód.
Čím bol tento ransomvér neobvyklý, bol jeho komunikačný kanál typu klient a server, ktorý sa riadil a riadil (C&C), a preto sa operátori rozhodli kooptovať Telegramový protokol namiesto protokolu HTTP / HTTPS, ako to dnes robí väčšina ransomvéru - aj keď bol vektor znateľne nízky a pri prvom použití bol zameraný na ruských používateľov verzia. Správy naznačujú, že ruskí používatelia, ktorí si nechcene stiahli infikované súbory a nainštalovali si ich po páde korisťou phishingových útokov sa zobrazila stránka s varovaním vydierajúca používateľa, aby zaplatil výkupné za získanie svojich súbory. V takom prípade sa od obetí požaduje, aby zaplatili 5 000 rubľov (77 dolárov) za takzvaný „Fond mladých programátorov“.
Ransomvér je zameraný na viac ako sto rôznych typov súborov vrátane súborov jpg, xlsx, docx, mp3, 7z, torrent alebo ppt.
The dešifrovací nástroj„Malwarebytes“ umožňuje obetiam obnoviť svoje súbory bez platenia. Potrebujete však nezašifrovanú verziu uzamknutého súboru, aby ste fungovali ako ukážka generovať funkčný dešifrovací kľúč. Môžete to urobiť prihlásením sa do svojich e-mailových účtov, službami synchronizácie súborov (Dropbox, Box) alebo zo starších záloh systému, ak ste nejaké vytvorili.
Keď dekódovač nájde šifrovací kľúč, poskytne používateľovi možnosť dešifrovať zoznam všetkých šifrovaných súborov alebo z jedného konkrétneho priečinka.
Proces funguje ako taký: Dešifrovací program overí vami poskytnuté súbory. Ak sa súbory zhodujú a sú šifrované šifrovacou schémou, ktorú používa Telecrypt, potom sa dostanete na druhú stránku rozhrania programu. Telecrypt uchováva zoznam všetkých šifrovaných súborov na „% USERPROFILE% \ Desktop \ База зашифр файлов.txt“
Môžete získať dešifrovač ransomvéru Telecrypt, ktorý vytvoril Malwarebytes z tohto odkazu Box.
