TeleCrypt ransomware yang tidak biasa, yang dikenal karena membajak aplikasi pesan Telegram untuk berkomunikasi dengan penyerang daripada protokol sederhana berbasis HTTP, tidak lagi menjadi ancaman bagi pengguna. Berkat analis malware untuk Malwarebytes Nathan Scott bersama dengan timnya di Kaspersky Lab, strain ransomware telah retak hanya beberapa minggu setelah rilis.

Mereka mampu mengungkap kelemahan utama dalam ransomware dengan mengungkap kelemahan algoritma enkripsi yang digunakan oleh TeleCrypt yang terinfeksi. Itu dienkripsi file dengan perulangan melalui mereka satu byte pada suatu waktu dan kemudian menambahkan byte dari kunci secara berurutan. Metode enkripsi sederhana ini memungkinkan peneliti keamanan cara untuk memecahkan kode berbahaya.

Apa yang membuat ransomware ini tidak umum adalah saluran komunikasi client-server perintah dan kontrol (C&C), yang mengapa operator memilih untuk mengkooptasi protokol Telegram alih-alih HTTP / HTTPS seperti yang dilakukan sebagian besar ransomware hari ini - meskipun vektor terlihat jelas pengguna Rusia yang rendah dan tertarget dengan versi pertamanya. Laporan menunjukkan bahwa pengguna Rusia yang secara tidak sengaja mengunduh file yang terinfeksi dan menginstalnya setelah menjadi mangsa serangan phishing ditunjukkan halaman peringatan memeras pengguna agar membayar tebusan untuk mengambil file mereka. Dalam hal ini, para korban diminta membayar 5.000 rubel ($ 77) untuk apa yang disebut “Dana Programmer Muda.”

Ransomware menargetkan lebih dari ratusan jenis file termasuk jpg, xlsx, docx, mp3, 7z, torrent atau ppt.

Alat dekripsi, Malwarebytes, memungkinkan para korban untuk memulihkan file mereka tanpa membayar. Namun, Anda memerlukan versi file terkunci yang tidak dienkripsi untuk bertindak sebagai sampel untuk menghasilkan kunci dekripsi yang berfungsi. Anda dapat melakukannya dengan masuk ke akun email Anda, layanan sinkronisasi file (Dropbox, Box), atau dari cadangan sistem yang lebih lama jika Anda membuatnya.

Setelah decryptor menemukan kunci enkripsi, pengguna akan diberi opsi untuk mendekripsi daftar semua file yang dienkripsi atau dari satu folder tertentu.

Prosesnya berjalan seperti itu: Program dekripsi memverifikasi file yang Anda berikan . Jika file cocok dan dienkripsi oleh skema enkripsi yang digunakan Telecrypt, Anda kemudian dinavigasi ke halaman kedua dari antarmuka program. Telecrypt menyimpan daftar semua file terenkripsi di “% USERPROFILE% \ Desktop \ База зашифр файлов.txt”

Anda bisa mendapatkan decryptor ransomware Telecrypt yang dibuat oleh Malwarebytes dari tautan Box ini.