Незвичайний викупний пристрій TeleCrypt, відомий тим, що викрав додаток обміну повідомленнями Telegram для спілкування з зловмисниками, а не простими протоколами на основі HTTP, вже не є загрозою для користувачів. Завдяки аналітику зловмисних програм для Malwarebytes Натана Скотта разом зі своєю командою в лабораторії Касперського, штам викупних програм був зламаний лише через кілька тижнів після його виходу.

Вони змогли розкрити головний недолік у програмі викупу, виявивши слабкість алгоритму шифрування, використовуваного зараженим TeleCrypt. Він зашифровував файли, перебираючи по них по одному байту за один раз, а потім додаючи байт з ключа по порядку. Цей простий метод шифрування дозволив дослідникам служби безпеки пробити шкідливий код.

Тим, що зробило цей випуск програмного забезпечення, незвичайним є його канал управління командою та керуванням (C&C) клієнт-сервер, через що оператори вирішили скооптувати протокол Telegram замість HTTP / HTTPS, як це робить більшість програм, що використовуються в цей час - навіть якщо вектор був помітно низькі та цільові російські користувачі з її першою версією. Звіти свідчать, що російським користувачам, які ненавмисно завантажували заражені файли та встановлювали їх після падіння жертви фішинг-атак, було показано попереджувальну сторінку, що шантажує користувача, сплачуючи викуп за отримання своїх файлів. У цьому випадку від потерпілих вимагають заплатити 5000 рублів (77 доларів) за так званий “Фонд молодих програмістів”.

Вимога програмного забезпечення націлена на понад сто різних типів файлів, включаючи jpg, xlsx, docx, mp3, 7z, торрент або ppt.

Засіб дешифрування Malwarebytes дозволяє жертвам відновити свої файли без оплати. Однак вам потрібна незашифрована версія заблокованого файлу, щоб діяти як зразок для створення робочого ключа розшифровки. Це можна зробити, увійшовши до своїх облікових записів електронної пошти, служб синхронізації файлів (Dropbox, Box) або зі старих резервних копій системи, якщо вони були зроблені.

Після того, як дешиптор знайде ключ шифрування, він надасть користувачеві можливість розшифрувати список усіх зашифрованих файлів або з однієї конкретної папки.

Процес працює як такий: Дешифрувальна програма перевіряє надані вами файли . Якщо файли збігаються та шифруються за схемою шифрування, яку використовує Telecrypt, ви переходите до другої сторінки інтерфейсу програми. Telecrypt зберігає список усіх зашифрованих файлів на "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"

Ви можете отримати розшифровку викупу програм Telecrypt, створену Malwarebytes, за цим посиланням Box.