Den uvanlige løseprogrammet TeleCrypt, kjent for å kapre meldingsappen Telegram for å kommunisere med angripere i stedet for enkle HTTP-baserte protokoller, er ikke lenger en trussel for brukerne. Takket være malware-analytiker for Malwarebytes Nathan Scott sammen med teamet hans på Kaspersky Lab, har belastningen på ransomware blitt sprukket bare uker etter at den ble lansert.

De var i stand til å avdekke en stor feil i ransomware ved å avsløre svakheten i krypteringsalgoritmen brukt av den infiserte TeleCrypt. Det krypterte filer ved å sløyfe gjennom dem en enkelt byte om gangen og deretter legge til en byte fra nøkkelen i rekkefølge. Denne enkle krypteringsmetoden ga sikkerhetsforskere en måte å sprekke gjennom den ondsinnede koden.

Det som gjorde denne ransomware uvanlig var dens kommando- og kontroll (C&C) klient-server kommunikasjonskanal, og det er grunnen til at operatørene valgte å velge Telegram-protokollen i stedet for HTTP / HTTPS som de fleste ransomware gjør i disse dager - selv om vektoren var merkbar. lave og målrettede russiske brukere med sin første versjon. Rapporter antyder at russiske brukere som utilsiktet lastet ned infiserte filer og installerte dem etter å ha falt bytte for phishing-angrep, fikk en advarselsside som utpresset brukeren til å betale løsepenger for å hente filer. I dette tilfellet blir ofrene bedt om å betale 5.000 rubler ($ 77) for det såkalte "Young Programmers Fund."

Ransomware målretter seg mot hundre forskjellige filtyper, inkludert jpg, xlsx, docx, mp3, 7z, torrent eller ppt.

Dekrypteringsverktøyet, Malwarebytes, lar ofre gjenopprette filene sine uten å betale. Du trenger imidlertid en ukryptert versjon av en låst fil for å fungere som et eksempel for å generere en fungerende dekrypteringsnøkkel. Du kan gjøre det ved å logge deg på e-postkontoer, filsynkroniseringstjenester (Dropbox, Box) eller fra eldre systemsikkerhetskopieringer hvis du har gjort noen.

Etter at dekrypteren har funnet krypteringsnøkkelen, vil den presentere brukeren muligheten til å dekryptere en liste over alle krypterte filer eller fra en bestemt mappe.

Prosessen fungerer som sådan: Dekrypteringsprogrammet verifiserer filene du oppgir . Hvis filene samsvarer og er kryptert av krypteringsskjemaet som Telecrypt bruker, navigeres du deretter til den andre siden i programgrensesnittet. Telecrypt holder en liste over alle krypterte filer på “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”

Du kan få Telecrypt ransomware dekrypter opprettet av Malwarebytes fra denne boksen-lenken.