Neobvyklý ransomware TeleCrypt, ktorý je známy tým, že unesie telegramovú aplikáciu na zasielanie správ na komunikáciu s útočníkmi namiesto jednoduchých protokolov založených na protokole HTTP, už nie je pre používateľov hrozbou. Vďaka analytiku malwaru pre Malwarebytes Nathan Scott spolu so svojím tímom v spoločnosti Kaspersky Lab bol kmeň ransomware popraskaný len pár týždňov po jeho vydaní.

Dokázali odhaliť hlavnú chybu v ransomware odhalením slabosti šifrovacieho algoritmu, ktorý používa infikovaný TeleCrypt. Šifrovala súbory tak, že cez ne prebehla jeden bajt a potom podľa potreby pridala bajt z kľúča. Táto jednoduchá metóda šifrovania umožnila výskumným pracovníkom spôsob, ako prelomiť škodlivý kód.

Čo robilo tento ransomware neobvyklým, bol jeho komunikačný kanál príkazu a riadenia (C&C) klient-server, čo je dôvod, prečo sa operátori rozhodli kooptovať protokol Telegram namiesto HTTP / HTTPS ako väčšina ransomware, ako to robí v týchto dňoch - hoci vektor bol viditeľne ruskí používatelia s nízkou mierou zacielenia a prvou verziou. Správy naznačujú, že ruským používateľom, ktorí neúmyselne stiahli infikované súbory a nainštalovali ich po tom, čo sa stali obeťami phishingových útokov, sa zobrazila stránka s upozornením vydierajúca používateľa, aby zaplatil výkupné za načítanie svojich súborov. V tomto prípade sa od obetí požaduje, aby zaplatili 5 000 rubľov (77 USD) za takzvaný „fond mladých programátorov“.

Ransomware sa zameriava na viac ako sto rôznych typov súborov vrátane jpg, xlsx, docx, mp3, 7z, torrent alebo ppt.

Dešifrovací nástroj Malwarebytes umožňuje obetiam obnoviť svoje súbory bez platenia. Potrebujete však nezašifrovanú verziu uzamknutého súboru, ktorá bude slúžiť ako vzor na vygenerovanie funkčného dešifrovacieho kľúča. Môžete to urobiť tak, že sa prihlásite do svojich e-mailových účtov, služieb synchronizácie súborov (Dropbox, Box) alebo zo starších systémových záloh, ak ste ich vytvorili.

Keď dešifrovač nájde šifrovací kľúč, ponúkne používateľovi možnosť dešifrovať zoznam všetkých šifrovaných súborov alebo z jedného konkrétneho priečinka.

Proces funguje ako taký: Dešifrovací program overí súbory, ktoré poskytnete . Ak sa súbory zhodujú a sú šifrované pomocou šifrovacej schémy, ktorú používa Telecrypt, potom prejdete na druhú stránku programového rozhrania. Telecrypt uchováva zoznam všetkých šifrovaných súborov na „% USERPROFILE% \ Desktop \ База зашифр файлов.txt“

Z tohto odkazu na box môžete získať dešifrovač Telecrypt ransomware, ktorý vytvoril Malwarebytes.