Epätavallinen ransomware TeleCrypt, joka tunnetaan viestintäsovelluksen Telegram kaappaamisesta kommunikointiin hyökkääjien kanssa eikä yksinkertaisten HTTP-pohjaisten protokollien sijaan, ei enää ole uhka käyttäjille. Malwarebytes-sovelluksen haittaohjelman analyytikon Nathan Scottin ja Kaspersky Lab -ryhmänsä ansiosta ransomware-kanta on murtunut vain viikkoja sen julkaisun jälkeen.

He pystyivät paljastamaan merkittävän vian ransomware-ohjelmissa paljastamalla tartunnan saaneen TeleCryptin käyttämän salausalgoritmin heikkouden. Se salattiin tiedostot silmukoimalla ne läpi yhden tavun kerrallaan ja lisäämällä sitten tavu avaimesta järjestyksessä. Tämä yksinkertainen salausmenetelmä antoi turvallisuustutkijoille mahdollisuuden murtaa haittakoodi läpi.

Tämän ransomware-ohjelmiston vuoksi epätavallisena oli sen komento- ja ohjaus (C&C) -asiakas-palvelinkanava, minkä vuoksi operaattorit päättivät valita Telegram-protokollan HTTP / HTTPS: n sijasta, kuten useimmat lunastusohjelmat tekevät nykyään - vaikka vektori oli huomattavasti alhaiset ja kohdennetut venäläiset käyttäjät ensimmäisen versionsa kanssa. Raporttien mukaan venäläisille käyttäjille, jotka ovat tahattomasti ladanneet tartunnan saaneita tiedostoja ja asentaneet ne tietojenkalasteluhyökkäyksien joutumisen jälkeen, näytettiin varoitussivu, joka kiristi käyttäjää maksamaan lunnaita tiedostojensa hakemiseksi. Tässä tapauksessa uhreja vaaditaan maksamaan 5000 ruplaa (77 dollaria) ns. ”Nuorten Ohjelmoittajien Rahastosta”.

Ransomware kohdistaa yli sata erityyppistä tiedostotyyppiä, mukaan lukien jpg, xlsx, docx, mp3, 7z, torrent tai ppt.

Salauksen purkutyökalu, Malwarebytes, antaa uhreille mahdollisuuden palauttaa tiedostot maksamatta. Tarvitset kuitenkin salatun version lukitusta tiedostosta toimiaksesi näytteenä toimivan salauksen avaimen luomiseksi. Voit tehdä sen kirjautumalla sisään sähköpostitileihisi, tiedostojen synkronointipalveluihin (Dropbox, Box) tai vanhemmista järjestelmän varmuuskopioista, jos olet tehnyt sellaisen.

Kun salauksenpurkuja on löytänyt salausavaimen, se antaa käyttäjälle mahdollisuuden purkaa kaikkien salattujen tiedostojen luettelo tai yhdestä tietystä kansiosta.

Prosessi toimii sellaisenaan: Salauksen purkuohjelma tarkistaa antamasi tiedostot . Jos tiedostot täsmäävät ja ne on salattu Telecryptin käyttämällä salausohjelmalla, siirrytään sitten ohjelmarajapinnan toiselle sivulle. Telecrypt pitää luetteloa kaikista salattuista tiedostoista ”% USERPROFILE% \ Desktop \ База зашифр файлов.txt”

Voit saada Malwarebytesin luoman Telecrypt-lunnaohjelmien salauksenpurkimen tästä laatikolinkistä.