Friendoffriends
Den ovanliga ransomware TeleCrypt, känd för att kapa meddelandeprogrammet Telegram för att kommunicera med angripare snarare än enkla HTTP-baserade protokoll, är inte längre ett hot för användarna. Tack vare malwareanalytiker för Malwarebytes Nathan Scott tillsammans med sitt team på Kaspersky Lab har påfrestningen på ransomware knäckt bara några veckor efter att den släpptes.
De kunde upptäcka en stor brist i ransomware genom att avslöja svagheten i krypteringsalgoritmen som används av den infekterade TeleCrypt. Det krypterade filer genom att slinga igenom en enda byte åt gången och sedan lägga till en byte från nyckeln i ordning. Denna enkla krypteringsmetod gjorde det möjligt för säkerhetsforskare att sätta igång den skadliga koden.
Det som gjorde denna ransomware ovanlig var dess kommando- och kontrollkommunikationskanal (C&C), vilket är anledningen till att operatörerna valde att samordna Telegram-protokollet istället för HTTP / HTTPS som de flesta ransomware gör idag - även om vektorn var märkbart låga och riktade ryska användare med sin första version. Rapporter tyder på att ryska användare som oavsiktligt laddade ner infekterade filer och installerade dem efter att ha fallit offer för nätfiskeattacker visades en varningssida som utpressar användaren för att betala en lösen för att hämta sina filer. I det här fallet krävs offren att betala 5 000 rubel (77 $) för den så kallade "Young Programmers Fund."
Ransomware riktar sig till över hundra olika filtyper inklusive jpg, xlsx, docx, mp3, 7z, torrent eller ppt.
Krypteringsverktyget, Malwarebytes, tillåter offer att återställa sina filer utan att betala. Du behöver dock en okrypterad version av en låst fil för att fungera som ett exempel för att generera en fungerande dekrypteringsnyckel. Du kan göra det genom att logga in på dina e-postkonton, filsynkroniseringstjänster (Dropbox, Box) eller från äldre säkerhetskopior om du har gjort något.
Efter att dekrypteraren har hittat krypteringsnyckeln kommer den att ge användaren möjlighet att dekryptera en lista över alla krypterade filer eller från en specifik mapp.
Processen fungerar som sådan: Avkrypteringsprogrammet verifierar de filer du tillhandahåller. Om filerna matchar och krypteras av krypteringsschemat som Telecrypt använder, navigeras du sedan till andra sidan i programgränssnittet. Telecrypt håller en lista över alla krypterade filer på “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Du kan få Telecrypt-ransomware-dekrypteraren som skapats av Malwarebytes från den här länken.
- Malwarebytes-problem
- teleCrypt
- Telegram
