A szokatlan ransomware TeleCrypt, amely a Telegram üzenetküldő alkalmazás eltérítéséből ismert, hogy a támadókkal kommunikáljon, nem pedig egyszerű HTTP-alapú protokollokat, már nem jelent veszélyt a felhasználókra. A Malwarebytes malware elemzőjének, Nathan Scottnak és a Kaspersky Lab csapatának köszönhetően a ransomware törzs néhány héttel a felszabadulást követően repedt.

A fertőzött TeleCrypt által használt titkosítási algoritmus gyengeségeinek feltárásával képesek voltak feltárni egy nagy hibát a ransomware-ben. Titkosította a fájlokat úgy, hogy egyszerre egyetlen bájtot áthúzott rajtuk keresztül, majd hozzárendelte egy bájtot a kulcsból. Ez az egyszerű titkosítási módszer lehetővé tette a biztonsági kutatók számára, hogy megtörjék a rosszindulatú kódot.

A ransomware ritka volt a vezérlés és vezérlés (C&C) kliens-szerver kommunikációs csatornája miatt, ezért az operátorok úgy döntöttek, hogy a Telegram protokollt választják a HTTP / HTTPS helyett, mint manapság a legtöbb ransomware - bár a vektor észrevehetően alacsony és célzott orosz felhasználók az első verzióval. A jelentések szerint az orosz felhasználók számára, akik véletlenül letöltöttek a fertőzött fájlokat és telepítették azokat az adathalász támadások áldozatává válása után, figyelmeztető oldal jelenik meg a felhasználóval, hogy zsarolja a felhasználót, hogy váltságdíjat fizetjen a fájlok visszakeresése érdekében. Ebben az esetben az áldozatokat 5000 rubelt (77 dollárt) kell fizetni az úgynevezett „Fiatal programozók alapért”.

A ransomware több mint száz különféle fájltípust céloz meg, beleértve a jpg, xlsx, docx, mp3, 7z, torrent vagy ppt fájlokat.

A visszafejtő eszköz, a Malwarebytes lehetővé teszi az áldozatok számára, hogy fizetésük nélkül visszaállítsák fájljaikat. Szüksége van azonban egy zárolt fájl titkosítatlan verziójára, hogy mintát működjön a működő dekódolási kulcs létrehozásához. Ehhez be kell jelentkeznie az e-mail fiókokba, a fájl szinkronizálási szolgáltatásokba (Dropbox, Box), vagy a régebbi rendszer biztonsági másolataiból, ha ilyen volt.

Miután a dekódoló megtalálta a titkosítási kulcsot, lehetőséget biztosít a felhasználó számára, hogy dekódolja az összes titkosított fájl listáját vagy egy adott mappából.

A folyamat így működik: A dekódoló program ellenőrzi a megadott fájlokat . Ha a fájlok megegyeznek és a Telecrypt által használt titkosítási rendszer titkosítja azokat, akkor navigál a program interfészének második oldalára. A Telecrypt az összes titkosított fájl listáját a következő helyen tárolja: „% USERPROFILE% \ Desktop \ База зашифр файлов.txt”

Ebből a linkből a Malwarebytes által készített Telecrypt ransomware dekódolót kaphatja meg.