Neobvyklý ransomware TeleCrypt, známý pro unesení aplikace pro zasílání zpráv Telegram pro komunikaci s útočníky, spíše než jednoduché protokoly založené na HTTP, již není pro uživatele hrozbou. Díky malwarovému analytikovi pro Malwarebytes Nathan Scott a jeho týmu v Kaspersky Lab došlo k prasknutí kmene ransomwaru jen několik týdnů po jeho vydání.

Dokázali odhalit hlavní chybu v ransomwaru odhalením slabosti šifrovacího algoritmu používaného infikovaným TeleCryptem. Šifrovala soubory tak, že se v nich opakovala jeden bajt najednou a poté v pořadí přidávala bajt z klíče. Tato jednoduchá metoda šifrování umožnila výzkumníkům v oblasti bezpečnosti proniknout do škodlivého kódu.

To, že byl tento ransomware neobvyklý, byl jeho komunikační a komunikační kanál typu klient a server (C&C), což je důvod, proč se operátoři rozhodli kooptovat protokol Telegram namísto HTTP / HTTPS jako většina ransomwaru, jak to dnes dělá - i když vektor byl znatelně ruské uživatele s nízkou a cílenou adresou s první verzí Zprávy naznačují, že ruským uživatelům, kteří neúmyslně stáhli infikované soubory a nainstalovali je poté, co se stali kořistí phishingových útoků, se zobrazila varovná stránka vydírající uživatele, aby zaplatil výkupné za načtení svých souborů. V tomto případě se od obětí požaduje, aby za tzv. Fond mladých programátorů zaplatili 5 000 rublů (77 USD).

Ransomware zacílí na více než sto různých typů souborů, včetně jpg, xlsx, docx, mp3, 7z, torrent nebo ppt.

Nástroj dešifrování Malwarebytes umožňuje obětem obnovit jejich soubory bez placení. Potřebujete však nezašifrovanou verzi uzamčeného souboru, která bude fungovat jako ukázka pro vygenerování funkčního dešifrovacího klíče. Můžete to udělat tak, že se přihlásíte do svých e-mailových účtů, služeb synchronizace souborů (Dropbox, Box) nebo ze starších systémových záloh, pokud jste nějaké provedli.

Poté, co dešifrovač najde šifrovací klíč, nabídne uživateli možnost dešifrovat seznam všech šifrovaných souborů nebo z jedné konkrétní složky.

Proces funguje takto: Dešifrovací program ověří vámi poskytnuté soubory . Pokud se soubory shodují a jsou šifrovány pomocí šifrovacího schématu, které používá Telecrypt, přejdete na druhou stránku programového rozhraní. Telecrypt udržuje seznam všech šifrovaných souborů na „% USERPROFILE% \ Desktop \ База зашифр файлов.txt“

Z tohoto odkazu na box můžete získat dešifrovač Telecrypt ransomware vytvořený Malwarebytes.