Необичайният ransomware TeleCrypt, известен с отвличането на приложението за съобщения Telegram за комуникация с нападатели, а не с прости HTTP-базирани протоколи, вече не представлява заплаха за потребителите. Благодарение на анализатора на зловреден софтуер за Malwarebytes Нейтън Скот, заедно с екипа му в лабораторията на Kaspersky, щамът от откупи е бил напукан само седмици след излизането му.

Те бяха в състояние да разкрият основен недостатък в извличащия софтуер, като разкриха слабостта на алгоритъма за криптиране, използван от заразения TeleCrypt. Той шифрова файлове, като преглежда през тях по един байт наведнъж и след това добавя байт от ключа по ред. Този прост метод за криптиране позволи на изследователите по сигурността да пробият злонамерения код.

Това, което направи този откъс софтуер не рядко, беше комуникационният му канал за управление и управление (C&C) клиент-сървър, поради което операторите избраха да кооптират протокола Telegram вместо HTTP / HTTPS, както правят повечето рансъмуер в наши дни - въпреки че векторът беше забележимо ниски и насочени руски потребители с първата си версия. Докладите предполагат, че на руските потребители, които неволно са изтеглили заразени файлове и са ги инсталирали след като са станали плячка за фишинг атаки, е показана страница с предупреждение, която изнудва потребителя да плаща откуп за изтегляне на своите файлове. В този случай от жертвите се изисква да платят 5000 рубли (77 долара) за така наречения „Фонд за млади програмисти“.

Ransomware е насочен към стотина различни типа файлове, включително jpg, xlsx, docx, mp3, 7z, торент или ppt.

Инструментът за декриптиране, Malwarebytes, позволява на жертвите да възстановяват своите файлове, без да плащат. Необходима ви е обаче незашифрована версия на заключен файл, за да действате като извадка за генериране на работещ ключ за декриптиране. Можете да го направите, като влезете в своите имейл акаунти, услуги за синхронизиране на файлове (Dropbox, Box) или от по-стари резервни копия на системата, ако сте направили такива.

След като декрипторът намери ключа за криптиране, той ще представи на потребителя опцията да декриптира списък на всички криптирани файлове или от една конкретна папка.

Процесът работи като такъв: Дешифриращата програма проверява файловете, които предоставяте . Ако файловете съвпадат и са шифровани от схемата за криптиране, използвана от Telecrypt, след това ще преминете към втората страница на програмния интерфейс. Telecrypt поддържа списък на всички криптирани файлове на „% USERPROFILE% \ Desktop \ База зашифр файлов.txt“

Можете да получите декриптор за изкупване от Telecrypt, създаден от Malwarebytes, от тази връзка за кутия.