Neobični ransomware TeleCrypt, poznat po otmici aplikacije za slanje poruka Telegram radi komunikacije s napadačima, a ne jednostavnim protokolima temeljenim na HTTP-u, više ne predstavlja prijetnju za korisnike. Zahvaljujući analitičaru zlonamjernog softvera za Malwarebytes Nathanu Scottu, zajedno sa svojim timom u Kaspersky Lab, vrsta ransomwarea puknuta je samo nekoliko tjedana nakon objavljivanja.

Bili su u stanju otkriti veliku manu ransomwarea otkrivši slabost algoritma za šifriranje koji koristi zaraženi TeleCrypt. Ona je šifrirala datoteke provlačeći kroz njih po jedan bajt, a zatim dodavanjem bajta iz ključa. Ova jednostavna metoda šifriranja omogućila je istraživačima sigurnosti način da probiju zlonamjerni kod.

Ono što je učinilo ovaj ransomware neuobičajenim je njegov komunikacijski kanal za zapovjedništvo i kontrolu (C&C) klijent-poslužitelj, zbog čega su operatori izabrali da optimiziraju protokol Telegram umjesto HTTP / HTTPS kao što to radi većina ransomwara ovih dana - iako je vektor bio primjetno niski i ciljani ruski korisnici s njegovom prvom verzijom. Izvješća pokazuju da su ruski korisnici koji su nenamjerno preuzeli zaražene datoteke i instalirali ih nakon pada plijena phishing napadima pokazali stranicu upozorenja koja ucjenjuje korisnika da plati otkupninu za preuzimanje svojih datoteka. U ovom slučaju se od žrtava traži plaćanje 5.000 rubalja (77 USD) za takozvani „Fond mladih programera“.

Ransomware cilja preko stotinu različitih vrsta datoteka, uključujući jpg, xlsx, docx, mp3, 7z, torrent ili ppt.

Alat za dešifriranje, Malwarebytes, omogućava žrtvama da oporave svoje datoteke bez plaćanja. No potrebna vam je nešifrirana inačica zaključane datoteke da biste djelovali kao uzorak za generiranje radnog ključa za dešifriranje. To možete učiniti prijavljivanjem na svoje račune e-pošte, uslugama sinkronizacije datoteka (Dropbox, Box) ili starijim sigurnosnim kopijama sustava ako ste ih napravili.

Nakon što dešifrator pronađe ključ za šifriranje, korisniku će tada pružiti mogućnost da dešifrira popis svih šifriranih datoteka ili iz jedne određene mape.

Proces funkcionira kao takav: Program za dešifriranje provjerava datoteke koje ste unijeli . Ako se datoteke podudaraju i kriptiraju pomoću sheme enkripcije koju Telecrypt koristi, tada ćete se pomaknuti na drugu stranicu programskog sučelja. Telecrypt vodi popis svih šifriranih datoteka na "% USERPROFILE% \ Desktop \ Baza zašifri datoteke fajla.txt"

Telecrypt dešiftove otkupne programe koju je stvorio Malwarebytes možete dobiti s ove veze u Boxu.