Необычный вымогатель TeleCrypt, известный тем, что он угонял приложение для обмена сообщениями Telegram для связи с злоумышленниками, а не с простыми протоколами на основе HTTP, больше не представляет угрозы для пользователей. Благодаря аналитику вредоносного ПО для Malwarebytes Натану Скотту и его команде в Лаборатории Касперского, штамм вымогателей был взломан через несколько недель после его выпуска.

Они смогли выявить главный недостаток вымогателей, обнаружив слабость алгоритма шифрования, используемого зараженным TeleCrypt. Он зашифровал файлы, просматривая их по одному байту за раз, а затем добавляя байт из ключа по порядку. Этот простой метод шифрования позволил исследователям безопасности взломать вредоносный код.

То, что делало это вымогательство необычным, было его клиент-серверным каналом управления и контроля (C & C), именно поэтому операторы решили использовать протокол Telegram вместо HTTP / HTTPS, как это делает большинство вымогателей в наши дни - даже при том, что вектор был заметно низкие и целенаправленные российские пользователи со своей первой версией. Согласно сообщениям, российским пользователям, которые непреднамеренно загрузили зараженные файлы и установили их после того, как стали жертвами фишинг-атак, была показана страница с предупреждением, призывающая пользователя заплатить выкуп за получение их файлов. В этом случае от жертв требуют заплатить 5000 рублей (77 долларов) за так называемый «Фонд молодых программистов».

Программа-вымогатель предназначается для более чем сотни различных типов файлов, включая jpg, xlsx, docx, mp3, 7z, torrent или ppt.

Средство дешифрования Malwarebytes позволяет жертвам восстанавливать свои файлы без оплаты. Однако вам нужна незашифрованная версия заблокированного файла, которая будет служить образцом для генерации рабочего ключа дешифрования. Вы можете сделать это, войдя в свои учетные записи электронной почты, службы синхронизации файлов (Dropbox, Box) или из старых резервных копий системы, если вы их сделали.

После того, как расшифровщик найдет ключ шифрования, он предоставит пользователю возможность расшифровать список всех зашифрованных файлов или из одной определенной папки.

Процесс работает следующим образом: программа расшифровки проверяет файлы, которые вы предоставляете . Если файлы совпадают и зашифрованы с помощью схемы шифрования, которую использует Telecrypt, вы перейдете на вторую страницу интерфейса программы. Telecrypt хранит список всех зашифрованных файлов в «% USERPROFILE% \ Desktop \ База зашифр файлов.txt»

Вы можете получить расшифровщик вымогателей Telecrypt, созданный Malwarebytes по этой ссылке Box.