Niezwykłe oprogramowanie ransomware TeleCrypt, znane z przechwytywania aplikacji do przesyłania wiadomości Telegram w celu komunikowania się z atakującymi zamiast zwykłych protokołów opartych na HTTP, nie stanowi już zagrożenia dla użytkowników. Dzięki analitykowi złośliwego oprogramowania dla Malwarebytesa Nathanowi Scottowi i jego zespołowi z Kaspersky Lab szczep ransomware został złamany zaledwie kilka tygodni po jego wydaniu.

Udało im się odkryć poważną wadę oprogramowania ransomware, ujawniając słabość algorytmu szyfrowania używanego przez zainfekowany TeleCrypt. Zaszyfrował pliki, zapętlając je po jednym bajcie na raz, a następnie dodając bajt z klucza w kolejności. Ta prosta metoda szyfrowania pozwoliła badaczom bezpieczeństwa na złamanie złośliwego kodu.

To, co czyniło to oprogramowanie ransomware rzadkim, to kanał komunikacyjny klient-serwer do sterowania i kontroli (C&C), dlatego operatorzy zdecydowali się na wybór protokołu Telegram zamiast HTTP / HTTPS, jak większość dzisiejszych programów ransomware - mimo że wektor był zauważalnie niskich i ukierunkowanych rosyjskich użytkowników w pierwszej wersji. Raporty sugerują, że rosyjskim użytkownikom, którzy nieumyślnie pobrali zainfekowane pliki i zainstalowali je po padnięciu ofiarą ataków phishingowych, wyświetlono stronę ostrzegawczą szantażującą użytkownika za zapłacenie okupu za odzyskanie plików. W takim przypadku ofiary są zobowiązane do zapłaty 5000 rubli (77 USD) za tak zwany „Fundusz Młodych Programistów”.

Ransomware atakuje ponad sto różnych typów plików, w tym jpg, xlsx, docx, mp3, 7z, torrent lub ppt.

Narzędzie deszyfrujące Malwarebytes pozwala ofiarom odzyskać swoje pliki bez płacenia. Potrzebujesz jednak niezaszyfrowanej wersji zablokowanego pliku, aby działał jako próbka w celu wygenerowania działającego klucza odszyfrowującego. Możesz to zrobić, logując się na swoje konta e-mail, usługi synchronizacji plików (Dropbox, Box) lub ze starszych kopii zapasowych systemu, jeśli takie wykonałeś.

Po odszyfrowaniu klucza szyfrującego przedstawi użytkownikowi opcję odszyfrowania listy wszystkich zaszyfrowanych plików lub z jednego określonego folderu.

Proces działa w ten sposób: program deszyfrujący weryfikuje dostarczone pliki . Jeśli pliki są zgodne i są zaszyfrowane zgodnie ze schematem szyfrowania używanym przez program Telecrypt, następuje przejście do drugiej strony interfejsu programu. Telecrypt przechowuje listę wszystkich zaszyfrowanych plików w folderze „% USERPROFILE% \ Desktop \ База зашифр файлов.txt”

Możesz pobrać program deszyfrujący ransomware Telecrypt stworzony przez Malwarebytes z tego łącza Box.