Nenavadna odkupna programska oprema TeleCrypt, znana po ugrabitvi aplikacije za pošiljanje sporočil Telegram za komunikacijo z napadalci in ne po enostavnih protokolih, ki temeljijo na HTTP, uporabnikom ni več grožnja. Hvala analitiku zlonamerne programske opreme za Malwarebytes Nathan Scott je skupaj s svojo ekipo v laboratoriju Kaspersky Lab odkril le nekaj tednov po izidu.
Lahko so odkrili večjo napako v odkupni programski opremi, tako da so razkrili šibkost algoritma za šifriranje, ki ga uporablja okuženi TeleCrypt. Datoteke je šifriral tako, da je naenkrat zanje pregledal en sam bajt in nato po vrsti dodal bajt iz ključa. Ta preprost način šifriranja je raziskovalcem na področju varnosti omogočil, da prebijejo škodljivo kodo.
Zaradi česar je bila ta ransomware neobičajna, je njen komunikacijski kanal odjemalec-strežnik za upravljanje in nadzor (C&C), zato so se operaterji odločili, da Telegramov protokol namesto HTTP / HTTPS, kot to počne danes večina ransomware - čeprav je bil vektor opazno nizek in je že s prvimi ciljal na ruske uporabnike različico. Poročila kažejo, da so ruski uporabniki, ki so nenamerno prenesli okužene datoteke in jih po padcu namestili žrtev napadov z lažnim predstavljanjem je bila prikazana opozorilna stran, ki je uporabnika izsiljevala, da je plačal odkupnino za njihovo pridobitev datotek. V tem primeru morajo žrtve plačati 5000 rubljev (77 USD) za tako imenovani „sklad mladih programerjev“.
Izsiljevalska programska oprema cilja na več sto različnih vrst datotek, vključno z jpg, xlsx, docx, mp3, 7z, torrentom ali ppt.
The orodje za dešifriranje, Malwarebytes, omogoča žrtvam, da obnovijo svoje datoteke brez plačila. Za vzorčenje potrebujete nešifrirano različico zaklenjene datoteke ustvari delujoč ključ za dešifriranje. To lahko storite tako, da se prijavite v e-poštne račune, storitve sinhronizacije datotek (Dropbox, Box) ali iz starejših varnostnih kopij sistema, če ste jih že naredili.
Ko dešifrirnik najde šifrirni ključ, bo nato uporabniku ponudil možnost, da dešifrira seznam vseh šifriranih datotek ali iz ene posebne mape.
Postopek deluje kot tak: program za dešifriranje preveri datoteke, ki jih navedete. Če se datoteke ujemajo in so šifrirani s šifrirno shemo, ki jo uporablja Telecrypt, nato se pomaknete na drugo stran programskega vmesnika. Telecrypt hrani seznam vseh šifriranih datotek na naslovu »% USERPROFILE% \ Desktop \ База зашифр файлов.txt«
Lahko dobite dešifrirnik Telecrypt ransomware, ki ga je ustvaril Malwarebytes s te povezave v okencu.
