Необични рансомваре ТелеЦрипт, познат по отмици апликације за размену порука Телеграм за комуникацију са нападачима, а не по једноставним ХТТП протоколима, више није претња за кориснике. Захваљујемо аналитичару злонамерног софтвера за Малваребитес Натхан Сцотт, заједно са својим тимом у лабораторији Касперски, сој рансомваре-а је напукнут само неколико недеља након објављивања.
Успели су да открију велику ману у рансомваре-у откривајући слабост алгоритма шифровања који користи заражени ТелеЦрипт. Шифрирао је датотеке прелиставајући кроз њих по један бајт, а затим редом додајући бајт из кључа. Овај једноставан метод шифровања омогућио је истраживачима безбедности начин да се пробију кроз злонамерни код.
Оно што је овај рансомваре учинило неуобичајеним био је његов комуникациони канал клијент-сервер за управљање и управљање (Ц&Ц), због чега су оператери изабрали да кооптирају Телеграм протокол уместо ХТТП / ХТТПС-а као што то чини већина рансомваре-а данас - иако је вектор био приметно низак и циљао је руске кориснике са првим верзија. Извештаји сугеришу да су руски корисници који су ненамерно преузели заражене датотеке и инсталирали их након пада плен пхисхинг напада приказан је на страници упозорења уцењујући корисника да плати откупнину да би их преузео фајлови. У овом случају, од жртава се тражи да плате 5.000 рубаља (77 долара) за такозвани „Фонд младих програмера“.
Рансомваре циља преко стотину различитих типова датотека, укључујући јпг, клск, доцк, мп3, 7з, торрент или ппт.
Тхе алат за дешифровање, Малваребитес, омогућава жртвама да поврате своје датотеке без плаћања. Међутим, потребна вам је нешифрована верзија закључане датотеке која ће деловати као узорак генерисати радни кључ за дешифровање. То можете учинити пријављивањем на рачуне е-поште, услуге синхронизације датотека (Дропбок, Бок) или из старијих сигурносних копија система ако сте их направили.
Након што дешифривач пронађе кључ за шифровање, он ће кориснику представити опцију да дешифрује листу свих шифрованих датотека или из једне одређене фасцикле.
Процес функционише као такав: Програм за дешифровање верификује датотеке које пружате. Ако се датотеке подударају и су шифровани шемом шифровања коју користи Телецрипт, а затим се прелази на другу страницу програмског интерфејса. Телецрипт води листу свих шифрованих датотека на „% УСЕРПРОФИЛЕ% \ Десктоп \ База зашифр датотека.ткт“
Можете добити Телецрипт рансомваре декриптор који је креирао Малваребитес са овог линка Бок.
