Friendoffriends
Den uvanlige løsepenger TeleCrypt, kjent for å kapre meldingsappen Telegram for å kommunisere med angripere i stedet for enkle HTTP-baserte protokoller, er ikke lenger en trussel for brukerne. Takket være malware-analytiker for Malwarebytes Nathan Scott sammen med teamet sitt på Kaspersky Lab, er belastningen på ransomware blitt sprukket bare noen uker etter utgivelsen.
De var i stand til å avdekke en stor feil ved løsepenger ved å avsløre svakheten til krypteringsalgoritmen som ble brukt av den infiserte TeleCrypt. Det krypterte filer ved å sløyfe gjennom dem en enkelt byte om gangen og deretter legge til en byte fra nøkkelen i rekkefølge. Denne enkle krypteringsmetoden tillot sikkerhetsforskere en måte å knekke gjennom den ondsinnede koden.
Det som gjorde denne ransomware uvanlig var dens kommando og kontroll (C&C) klient-server kommunikasjonskanal, og det er grunnen til at operatørene valgte å co-opt Telegram protokollen i stedet for HTTP / HTTPS som de fleste løsepenger gjør i disse dager - selv om vektoren var merkbart lave og målrettede russiske brukere med sin første versjon. Rapporter antyder at russiske brukere som utilsiktet lastet ned infiserte filer og installerte dem etter å ha blitt bytte for phishing-angrep, ble vist en advarselsside som utpresset brukeren til å betale løsepenger for å hente filene sine. I dette tilfellet kreves det at ofrene betaler 5000 rubler ($ 77) for det såkalte "Young Programmers Fund."
Ransomware retter seg mot over hundre forskjellige filtyper, inkludert jpg, xlsx, docx, mp3, 7z, torrent eller ppt.
Krypteringsverktøyet, Malwarebytes, lar ofrene gjenopprette filene sine uten å betale. Du trenger imidlertid en ukryptert versjon av en låst fil for å fungere som et eksempel for å generere en fungerende dekrypteringsnøkkel. Du kan gjøre det ved å logge på e-postkontoer, filsynkroniseringstjenester (Dropbox, Box) eller fra eldre sikkerhetskopier av systemet hvis du har gjort noen.
Etter at dekrypteren har funnet krypteringsnøkkelen, vil den gi brukeren muligheten til å dekryptere en liste over alle krypterte filer eller fra en bestemt mappe..
Prosessen fungerer slik: Dekrypteringsprogrammet verifiserer filene du gir. Hvis filene stemmer overens og blir kryptert av krypteringsskjemaet Telecrypt bruker, navigeres du deretter til den andre siden i programgrensesnittet. Telecrypt holder en liste over alle krypterte filer på “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”
Du kan få Telecrypt ransomware-dekrypteringsprogrammet opprettet av Malwarebytes fra denne Box-lenken.
- Malwarebytes-problemer
- teleCrypt
- Telegram
