L'inusual TeleCrypt ransomware, conegut per segrestar l'aplicació de missatgeria Telegram per comunicar-se amb atacants en lloc de simples protocols basats en HTTP, ja no és una amenaça per als usuaris. Gràcies a l’analista de programari maliciós de Malwarebytes Nathan Scott juntament amb el seu equip al Kaspersky Lab, la soca de ransomware s’ha quedat esquerdada poques setmanes després del seu llançament.

Van poder descobrir un defecte important en el ransomware revelant la feblesa de l'algorisme de xifrat utilitzat pel TeleCrypt infectat. Xifra els fitxers fent un bucle a través d'ells un sol byte alhora i després afegint un byte de la clau en ordre. Aquest senzill mètode de xifratge va permetre als investigadors de seguretat una forma de trencar el codi maliciós.

El que va fer que aquest ransomware fos poc freqüent va ser el seu canal de comunicacions client-servidor (C&C) de comandament i control, és per això que els operadors van optar per cooptar el protocol Telegram en lloc de HTTP / HTTPS com la majoria de ransomware ho fan avui dia, tot i que el vector era sensiblement. usuaris russos baixos i dirigits amb la seva primera versió. Els informes suggereixen que als usuaris russos que descarregaren involuntàriament fitxers infectats i els van instal·lar després de caure preses d'atacs de phishing se'ls va mostrar una pàgina d'advertència que xantajava l'usuari perquè pagava una rescata per recuperar els seus fitxers. En aquest cas, a les víctimes se'ls demana que paguen 5.000 rubles (77 dòlars) per l'anomenat "Fons Programadors Joves".

El ransomware s’orienta a més de cent tipus de fitxers diferents inclosos jpg, xlsx, docx, mp3, 7z, torrent o ppt.

L’eina de desxiframent, Malwarebytes, permet a les víctimes recuperar els seus fitxers sense pagar. Tanmateix, necessiteu una versió no xifrada d’un fitxer bloquejat per actuar com a mostra per generar una clau de desxiframent de treball. Podeu fer-ho si inicieu la sessió als vostres comptes de correu electrònic, serveis de sincronització d’arxius (Dropbox, Box) o a través de còpies de seguretat del sistema més antigues si en teniu.

Després que el desxifrador trobe la clau de xifrat, llavors l’usuari tindrà l’opció de desxifrar una llista de tots els fitxers xifrats o d’una carpeta específica.

El procés funciona com a tal: El programa de desxiframent verifica els fitxers que proporcioneu . Si els fitxers coincideixen i són xifrats per l’esquema de xifrat que utilitza Telecrypt, llavors aneu a la segona pàgina de la interfície del programa. Telecrypt guarda una llista de tots els fitxers xifrats a “% USERPROFILE% \ Desktop \ Desktop \ База зашифр файлов.txt”

Podeu obtenir el desxifrador ransomware ransomware creat per Malwarebytes des d’aquest enllaç de caixa.