Den usædvanlige løseprogram TeleCrypt, der er kendt for at kapre messaging-appen Telegram for at kommunikere med angribere snarere end enkle HTTP-baserede protokoller, er ikke længere en trussel for brugerne. Takket være malware-analytiker for Malwarebytes Nathan Scott sammen med sit team på Kaspersky Lab, er stammen af ​​ransomware blevet brudt nogle uger efter dens frigivelse.

De var i stand til at afsløre en større fejl i ransomware ved at afsløre svagheden i den krypteringsalgoritme, der blev brugt af den inficerede TeleCrypt. Det krypterede filer ved at sløjfe gennem dem en enkelt byte ad gangen og derefter tilføje en byte fra nøglen i rækkefølge. Denne enkle krypteringsmetode gjorde det muligt for sikkerhedsforskere en måde at revne igennem den ondsindede kode.

Det, der gjorde denne ransomware ualmindelig, var dens kommando og kontrol (C&C) klient-server kommunikationskanal, hvilket er grunden til, at operatørerne valgte at vælge Telegram-protokollen i stedet for HTTP / HTTPS, som de fleste ransomware gør i disse dage - selvom vektoren var mærkbar lave og målrettede russiske brugere med sin første version. Rapporter antyder, at russiske brugere, der utilsigtet downloadede inficerede filer og installerede dem efter at have faldet bytte til phishing-angreb, blev vist en advarselsside, der afpresede brugeren til at betale en løsepenge for at hente deres filer. I dette tilfælde kræves ofrene at betale 5.000 rubler ($ 77) for den såkaldte "Young Programmers Fund".

Ransomware er målrettet mod over hundrede forskellige filtyper, herunder jpg, xlsx, docx, mp3, 7z, torrent eller ppt.

Dekrypteringsværktøjet Malwarebytes giver ofrene mulighed for at gendanne deres filer uden at betale. Du har dog brug for en ikke-krypteret version af en låst fil for at fungere som en prøve for at generere en fungerende dekrypteringsnøgle. Du kan gøre det ved at logge ind på dine e-mail-konti, filsynkroniseringstjenester (Dropbox, Box) eller fra ældre system-sikkerhedskopieringer, hvis du har foretaget nogen.

Når dekrypteren har fundet krypteringsnøglen, giver den brugeren muligheden for at dekryptere en liste over alle krypterede filer eller fra en bestemt mappe.

Processen fungerer som sådan: Dekrypteringsprogrammet verificerer de filer, du leverer . Hvis filerne stemmer overens og er krypteret af krypteringsskemaet, som Telecrypt bruger, navigeres du derefter til den anden side i programgrænsefladen. Telecrypt holder en liste over alle krypterede filer på “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”

Du kan få Telecrypt ransomware-dekrypter oprettet af Malwarebytes fra dette boks-link.