Ransomware yang luar biasa TeleCrypt, yang dikenali untuk merampas aplikasi Telegram mesej untuk berkomunikasi dengan penyerang dan bukan protokol berasaskan HTTP yang mudah, tidak lagi menjadi ancaman kepada pengguna. Terima kasih kepada penganalisis malware untuk Malwarebytes Nathan Scott bersama pasukannya di Kaspersky Lab, ketegasan ransomware telah retak hanya beberapa minggu selepas pembebasannya.

Mereka dapat mendedahkan kecacatan utama dalam ransomware dengan mendedahkan kelemahan algoritma penyulitan yang digunakan oleh TeleCrypt yang dijangkiti. Fail-fail yang disulitkan dengan melingkari mereka satu byte pada satu masa dan kemudian menambah bait dari kunci dalam susunan. Kaedah enkripsi mudah ini membenarkan penyelidik keselamatan cara untuk melancarkan kod jahat.

Apa yang membuat ransomware ini tidak biasa adalah saluran komunikasi klien-pelayan perintah dan kawalan (C & C), oleh itu, pengendali memilih untuk memilih protokol Telegram dan bukannya HTTP / HTTPS seperti kebanyakan ransomware pada hari ini - walaupun vektor itu nyata rendah dan disasarkan pengguna Rusia dengan versi pertamanya. Laporan mencadangkan bahawa pengguna Rusia yang tidak sengaja memuat turun fail yang dijangkiti dan memasangnya selepas jatuh mangsa serangan pancingan data telah menunjukkan halaman amaran yang memeras pengguna untuk membayar tebusan untuk mendapatkan fail mereka. Dalam kes ini, mangsa dituntut untuk membayar 5, 000 rubel ($ 77) untuk apa yang dipanggil "Dana Pemrogram Muda."

Ransomware mensasarkan lebih dari seratus jenis fail yang berbeza termasuk jpg, xlsx, docx, mp3, 7z, torrent atau ppt.

Alat penyahsulitan, Malwarebytes, membolehkan mangsa memulihkan fail mereka tanpa membayar. Walau bagaimanapun, anda memerlukan versi fail terkunci yang tidak disulitkan untuk bertindak sebagai sampel untuk menghasilkan kunci penyahsulitan yang berfungsi. Anda boleh melakukannya dengan log masuk ke akaun e-mel anda, perkhidmatan penyegerakan fail (Dropbox, Box), atau dari backup sistem lama jika anda membuat apa-apa.

Selepas penyahsulitan mendapati kunci penyulitan, ia akan membentangkan pengguna dengan pilihan untuk menyahsulit senarai semua fail yang disulitkan atau dari satu folder tertentu.

Proses ini berfungsi seperti berikut: Program penyahsulitan mengesahkan fail yang anda berikan . Jika fail sepadan dan disulitkan oleh skema penyulitan yang digunakan Telecrypt, anda kemudiannya dilayari ke halaman kedua antara muka program. Telecrypt menyimpan senarai semua fail yang disulitkan pada "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"

Anda boleh mendapatkan decryptor randomware Telecrypt yang dibuat oleh Malwarebytes dari pautan Peti ini.