Ang hindi pangkaraniwang ransomware TeleCrypt, na kilala para sa pag-hijack sa messaging app Telegram upang makipag-usap sa mga umaatake sa halip na simpleng protocol na nakabase sa HTTP, ay hindi na banta sa mga gumagamit. Salamat sa analyst ng malware para sa Malwarebytes na si Nathan Scott kasama ang kanyang koponan sa Kaspersky Lab, ang strain ng ransomware ay na-crack mga linggo makalipas ang paglabas nito.

Nagawa nilang mag-alis ng isang malaking kapintasan sa ransomware sa pamamagitan ng pagsisiwalat ng kahinaan ng algorithm ng pag-encrypt na ginamit ng mga nahawaang TeleCrypt. Ito naka-encrypt na mga file sa pamamagitan ng pag-loop sa pamamagitan ng mga ito ng isang solong bait sa isang pagkakataon at pagkatapos ay pagdaragdag ng isang bait mula sa susi sa pagkakasunud-sunod. Ang simpleng pamamaraan ng pag-encrypt ay pinapayagan ang mga mananaliksik ng seguridad ng isang paraan upang basagin ang nakahahamak na code.

Ang hindi nagagawa nitong ransomware ay hindi pangkaraniwan ay ang utos at kontrol (C&C) client-server na channel ng komunikasyon, na ang dahilan kung bakit pinili ng mga operator na co-opt ang Telegram protocol sa halip na HTTP / HTTPS tulad ng karamihan sa mga ransomware na ginagawa nitong mga araw na ito - kahit na ang vector ay kapansin-pansin. mababa at naka-target na mga gumagamit ng Ruso sa unang bersyon nito. Iminumungkahi ng mga ulat na ang mga gumagamit ng Ruso na hindi sinasadya na na-download ang mga nahawaang file at na-install ang mga ito matapos na mabiktima ng mga pag-atake sa phishing ay ipinakita ang isang babalang pahina na nag-blackmail sa gumagamit sa pagbabayad ng isang pantubos upang makuha ang kanilang mga file. Sa kasong ito, hinihiling ang mga biktima na magbayad ng 5, 000 rubles ($ 77) para sa tinatawag na "Young Programmers Fund."

Ang target ng ransomware ay higit sa daang iba't ibang mga uri ng file kabilang ang jpg, xlsx, docx, mp3, 7z, torrent o ppt.

Ang tool ng decryption, Malwarebytes, ay nagbibigay-daan sa mga biktima na mabawi ang kanilang mga file nang hindi nagbabayad. Gayunpaman, kailangan mo ng isang hindi naka-encrypt na bersyon ng isang naka-lock na file upang kumilos bilang isang sample upang makabuo ng isang gumaganang decryption key. Magagawa mo ito sa pamamagitan ng pag-log in sa iyong mga email account, mga serbisyo sa pag-sync ng file (Dropbox, Box), o mula sa mga mas nakatandang backup ng system kung gumawa ka.

Matapos hanapin ng decryptor ang key ng pag-encrypt, iharap nito ang gumagamit na may pagpipilian upang i-decrypt ang isang listahan ng lahat ng naka-encrypt na mga file o mula sa isang tiyak na folder.

Ang proseso ay gumagana tulad ng: Ang programa ng decrypting ay nagpapatunay sa mga file na iyong ibinibigay . Kung tumutugma ang mga file at naka-encrypt ng scheme ng pag-encrypt na ginagamit ng Telecrypt, pagkatapos ay naka-navigate ka sa pangalawang pahina ng interface ng programa. Ang Telecrypt ay nagpapanatili ng isang listahan ng lahat ng naka-encrypt na mga file sa "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"

Maaari kang makakuha ng decector ng ransom ng Telecrypt na nilikha ng Malwarebytes mula sa link na Box na ito.