De ongebruikelijke ransomware TeleCrypt, bekend vanwege het kapen van de berichten-app Telegram om te communiceren met aanvallers in plaats van eenvoudige HTTP-protocollen, vormt niet langer een bedreiging voor gebruikers. Dankzij malware-analist voor Malwarebytes Nathan Scott en zijn team bij Kaspersky Lab, is de stam van ransomware enkele weken na de release gekraakt.
Ze waren in staat om een grote fout in de ransomware aan het licht te brengen door de zwakte van het coderingsalgoritme te onthullen dat door de geïnfecteerde TeleCrypt wordt gebruikt. Het versleutelde bestanden door ze een byte tegelijk te doorlopen en vervolgens een byte van de sleutel op volgorde toe te voegen. Door deze eenvoudige coderingsmethode konden beveiligingsonderzoekers de kwaadaardige code kraken.
Wat deze ransomware ongebruikelijk maakte, was het command and control (C&C) client-server-communicatiekanaal.Daarom kozen de operators ervoor om het Telegram-protocol te gebruiken in plaats van HTTP / HTTPS, zoals de meeste ransomware tegenwoordig doen - ook al was de vector merkbaar lage en gerichte Russische gebruikers met de eerste versie. Rapporten suggereren dat Russische gebruikers die onbedoeld geïnfecteerde bestanden hebben gedownload en geïnstalleerd nadat ze ten prooi waren gevallen aan phishingaanvallen, een waarschuwingspagina te zien kregen die de gebruiker chanteerde om losgeld te betalen om hun bestanden op te halen. In dit geval wordt van de slachtoffers geëist dat ze 5.000 roebel ($ 77) betalen voor het zogenaamde "Young Programmers Fund".
De ransomware richt zich op meer dan honderd verschillende bestandstypen, waaronder jpg, xlsx, docx, mp3, 7z, torrent of ppt.
De decoderingstool, Malwarebytes, stelt slachtoffers in staat hun bestanden te herstellen zonder te betalen. U hebt echter een niet-gecodeerde versie van een vergrendeld bestand nodig om als voorbeeld te dienen om een werkende decoderingssleutel te genereren. U kunt dit doen door in te loggen op uw e-mailaccounts, bestandssynchronisatieservices (Dropbox, Box) of vanaf oudere systeemback-ups als u die hebt gemaakt..
Nadat de decryptor de coderingssleutel heeft gevonden, zal het de gebruiker de mogelijkheid bieden om een lijst met alle gecodeerde bestanden of uit een specifieke map te decoderen.
Het proces werkt als volgt: het decoderingsprogramma verifieert de bestanden die u verstrekt. Als de bestanden overeenkomen en worden gecodeerd door het coderingsschema dat Telecrypt gebruikt, u wordt vervolgens naar de tweede pagina van de programma-interface genavigeerd. Telecrypt houdt een lijst bij van alle versleutelde bestanden op "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"
U kunt de Telecrypt ransomware-decryptor die door Malwarebytes is gemaakt, downloaden via deze Box-link.
- Malwarebytes-problemen
- teleCrypt
- Telegram