Neparastā ransomware TeleCrypt, kas pazīstama ar ziņojumapmaiņas lietotnes Telegram nolaupīšanu, lai sazinātos ar uzbrucējiem, nevis vienkāršiem HTTP balstītiem protokoliem, lietotājiem vairs nav drauds. Pateicoties Malwarebytes ļaundabīgo programmu analītiķim Natanam Skotam un savai komandai Kaspersky Lab, ransomware celms tika uzlauzts tikai dažas nedēļas pēc tā izlaišanas.

Viņi spēja atklāt būtisku ransomware trūkumu, atklājot šifrēšanas algoritma trūkumus, ko izmanto inficētais TeleCrypt. Tas šifrēja failus, atverot tos caur vienu baitu vienlaikus un pēc tam pievienojot baitu secībā. Šī vienkāršā šifrēšanas metode ļāva drošības pētniekiem pārvarēt ļaunprātīgo kodu.

Tas, kas padarīja šo ransomware retāk sastopamu, bija tā vadības un vadības (C&C) klienta-servera sakaru kanāls, tāpēc operatori izvēlējās izvēlēties Telegram protokolu, nevis HTTP / HTTPS, tāpat kā vairums rensomware to dara mūsdienās - kaut arī vektors bija manāms zemi un mērķtiecīgi krievu lietotāji ar tā pirmo versiju. Pārskati liecina, ka krievu lietotājiem, kuri netīši lejupielādēja inficētos failus un tos instalēja pēc pikšķerēšanas upuriem, viņiem tika parādīta brīdinājuma lapa, kurā lietotājs šantažēts, maksājot izpirkuma maksu par viņu failu iegūšanu. Šajā gadījumā cietušajiem tiek prasīts samaksāt 5000 rubļu (77 USD) par tā dēvēto “Jauno programmētāju fondu”.

Ransomware ir paredzēts vairāk nekā simtiem dažādu failu tipu, ieskaitot jpg, xlsx, docx, mp3, 7z, torrent vai ppt.

Atšifrēšanas rīks Malwarebytes ļauj upuriem atgūt savus failus, nemaksājot. Tomēr jums ir nepieciešama nešifrēta bloķēta faila versija, lai tā darbotos kā paraugs, lai ģenerētu darba atšifrēšanas atslēgu. To var izdarīt, piesakoties savos e-pasta kontos, failu sinhronizācijas pakalpojumos (Dropbox, Box) vai no vecākām sistēmas dublējumiem, ja tos esat izveidojis.

Kad atšifrētājs atradīs šifrēšanas atslēgu, tas lietotājam sniegs iespēju atšifrēt visu šifrēto failu sarakstu vai no vienas noteiktas mapes.

Process darbojas kā tāds: atšifrēšanas programma pārbauda jūsu piedāvātos failus . Ja faili sakrīt un tiek šifrēti pēc šifrēšanas shēmas, kuru izmanto Telecrypt, jūs nokļūsit programmas interfeisa otrajā lapā. Telecrypt glabā visu šifrēto failu sarakstu “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”.

No šīs kastes saites jūs varat saņemt Telecrypt izpirkuma programmas atšifrētāju, ko izveidojis Malwarebytes.