Niezwykłe oprogramowanie ransomware TeleCrypt, znane z przechwytywania aplikacji do przesyłania wiadomości Telegram w celu komunikowania się z napastnikami, a nie prostych protokołów opartych na protokole HTTP, nie stanowi już zagrożenia dla użytkowników. Dzięki analitykowi złośliwego oprogramowania dla Malwarebytes Nathan Scott i jego zespołowi z Kaspersky Lab, szczep oprogramowania ransomware został złamany zaledwie kilka tygodni po jego wydaniu.
Udało im się odkryć poważną lukę w oprogramowaniu ransomware, ujawniając słabość algorytmu szyfrowania używanego przez zainfekowany TeleCrypt. Szyfruje pliki, przechodząc przez nie po jednym bajcie, a następnie dodając bajt z klucza po kolei. Ta prosta metoda szyfrowania umożliwiła badaczom bezpieczeństwa przełamanie złośliwego kodu.
To, co sprawiło, że to ransomware było niezwykłe, to jego kanał komunikacji klient-serwer (C&C), dlatego operatorzy zdecydowali się na kooptację protokołu Telegram zamiast HTTP / HTTPS, jak robi to większość ransomware w dzisiejszych czasach - mimo że wektor był zauważalny niska i ukierunkowani rosyjscy użytkownicy z pierwszą wersją. Raporty sugerują, że rosyjskim użytkownikom, którzy nieumyślnie pobrali zainfekowane pliki i zainstalowali je po tym, jak padli ofiarą ataków phishingowych, wyświetlała się strona ostrzegawcza zmuszająca użytkownika do zapłacenia okupu za odzyskanie plików. W tym przypadku ofiary są zobowiązane do zapłacenia 5000 rubli (77 dolarów) na tak zwany „Fundusz Młodych Programistów”.
Ransomware atakuje ponad sto różnych typów plików, w tym jpg, xlsx, docx, mp3, 7z, torrent lub ppt.
Narzędzie deszyfrujące Malwarebytes pozwala ofiarom odzyskać swoje pliki bez płacenia. Potrzebujesz jednak niezaszyfrowanej wersji zablokowanego pliku, która będzie działać jako próbka do wygenerowania działającego klucza odszyfrowywania. Możesz to zrobić, logując się do swoich kont e-mail, usług synchronizacji plików (Dropbox, Box) lub ze starszych kopii zapasowych systemu, jeśli takie utworzyłeś.
Po tym, jak deszyfrator znajdzie klucz szyfrowania, wyświetli użytkownikowi opcję odszyfrowania listy wszystkich zaszyfrowanych plików lub z jednego określonego folderu.
Proces przebiega następująco: program deszyfrujący weryfikuje dostarczone pliki. Jeśli pliki są zgodne i są zaszyfrowane za pomocą schematu szyfrowania używanego przez Telecrypt, następuje przejście do drugiej strony interfejsu programu. Telecrypt przechowuje listę wszystkich zaszyfrowanych plików w „% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Możesz pobrać deszyfrator ransomware Telecrypt stworzony przez Malwarebytes z tego łącza Box.
- Problemy z Malwarebytes
- teleCrypt
- Telegram