Den ovanliga ransomware TeleCrypt, känd för att kapa meddelandeprogrammet Telegram för att kommunicera med angripare snarare än enkla HTTP-baserade protokoll, är inte längre ett hot för användarna. Tack till skadlig analys för Malwarebytes Nathan Scott tillsammans med sitt team på Kaspersky Lab har belastningen på ransomware knäckt bara några veckor efter att den släpptes.
De kunde upptäcka en stor brist i ransomware genom att avslöja svagheten i krypteringsalgoritmen som används av den infekterade TeleCrypt. Det krypterade filer genom att slinga igenom en enda byte åt gången och sedan lägga till en byte från nyckeln i ordning. Denna enkla krypteringsmetod gjorde det möjligt för säkerhetsforskare att sätta igång den skadliga koden.
Det som gjorde denna ransomware ovanlig var dess kommando- och kontrollkommunikationskanal (C&C) för klient-server, vilket är anledningen till att operatörerna valde att välja Telegramprotokoll istället för HTTP / HTTPS som de flesta ransomware gör idag - även om vektorn var märkbart låg och riktade ryska användare med sin första version. Rapporter föreslår att ryska användare som oavsiktligt laddade ner infekterade filer och installerade dem efter att ha fallit byte mot nätfiskeattacker visades en varningssida som utpressar användaren för att betala en lösen för att hämta sina filer. I det här fallet krävs offren att betala 5 000 rubel (77 $) för den så kallade "Young Programmers Fund."
Ransomware riktar sig till över hundra olika filtyper inklusive jpg, xlsx, docx, mp3, 7z, torrent eller ppt.
De dekrypteringsverktyg, Malwarebytes, tillåter offer att återställa sina filer utan att betala. Du behöver dock en okrypterad version av en låst fil för att fungera som ett exempel på generera en fungerande dekrypteringsnyckel. Du kan göra det genom att logga in på dina e-postkonton, filsynkroniseringstjänster (Dropbox, Box) eller från äldre säkerhetskopior om du har gjort något.
Efter att dekrypteraren har hittat krypteringsnyckeln kommer den att ge användaren möjlighet att dekryptera en lista med alla krypterade filer eller från en specifik mapp.
Processen fungerar som sådan: Avkrypteringsprogrammet verifierar de filer du tillhandahåller. Om filerna matchar och krypteras av krypteringsschemat som Telecrypt använder, navigeras du sedan till andra sidan i programgränssnittet. Telecrypt håller en lista med alla krypterade filer på “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Du kan få Telecrypt ransomware-dekrypteraren skapad av Malwarebytes från den här länken.
