Neobișnuitul ransomware TeleCrypt, cunoscut pentru deturnarea aplicației de mesagerie Telegram pentru a comunica cu atacatorii, mai degrabă decât pentru protocoalele simple bazate pe HTTP, nu mai este o amenințare pentru utilizatori. Datorită analistului malware pentru Malwarebytes Nathan Scott împreună cu echipa sa de la Kaspersky Lab, tulpina ransomware-ului a fost crăpată la doar câteva săptămâni după lansarea sa.
Au reușit să descopere un defect major al ransomware-ului, dezvăluind slăbiciunea algoritmului de criptare utilizat de TeleCrypt infectat. Acesta a criptat fișierele prin buclă prin ele cu un singur octet la un moment dat și apoi adăugând un octet din cheie în ordine. Această metodă simplă de criptare a permis cercetătorilor din domeniul securității o modalitate de a trece prin codul rău intenționat.
Ceea ce a făcut acest ransomware neobișnuit a fost canalul său de comunicații client-server de comandă și control (C&C), motiv pentru care operatorii au ales să coopteze protocolul Telegram în loc de HTTP / HTTPS, așa cum fac cele mai multe ransomware în zilele noastre - chiar dacă vectorul era vizibil utilizatorii ruși reduși și vizați cu prima sa versiune. Rapoartele sugerează că utilizatorilor ruși care au descărcat în mod neintenționat fișiere infectate și le-au instalat după ce au căzut pradă atacurilor de phishing li s-a afișat o pagină de avertizare șantajând utilizatorul să plătească o răscumpărare pentru a-și recupera fișierele. În acest caz, victimelor li se cere să plătească 5.000 de ruble (77 USD) pentru așa-numitul „Fond pentru tineri programatori”.
Ransomware-ul vizează peste sute de tipuri diferite de fișiere, inclusiv jpg, xlsx, docx, mp3, 7z, torrent sau ppt.
Instrumentul de decriptare, Malwarebytes, permite victimelor să-și recupereze fișierele fără a plăti. Cu toate acestea, aveți nevoie de o versiune necriptată a unui fișier blocat pentru a acționa ca un eșantion pentru a genera o cheie de decriptare funcțională. Puteți face acest lucru conectându-vă la conturile dvs. de e-mail, serviciile de sincronizare a fișierelor (Dropbox, Box) sau de la copiile de rezervă mai vechi ale sistemului, dacă ați făcut.
După ce decriptorul găsește cheia de criptare, acesta va prezenta utilizatorului opțiunea de a decripta o listă a tuturor fișierelor criptate sau dintr-un folder specific.
Procesul funcționează astfel: programul de decriptare verifică fișierele pe care le furnizați. Dacă fișierele se potrivesc și sunt criptate de schema de criptare pe care o utilizează Telecrypt, apoi sunteți navigat la a doua pagină a interfeței programului. Telecrypt păstrează o listă a tuturor fișierelor criptate la „% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Puteți obține decriptorul Telecrypt ransomware creat de Malwarebytes din acest link Box.
- Probleme cu Malwarebytes
- teleCrypt
- Telegramă