De ongebruikelijke ransomware TeleCrypt, bekend voor het kapen van de berichten-app Telegram om te communiceren met aanvallers in plaats van eenvoudige op HTTP gebaseerde protocollen, is niet langer een bedreiging voor gebruikers. Dankzij malware-analist voor Malwarebytes Nathan Scott samen met zijn team in het Kaspersky Lab, is de stam van ransomware slechts enkele weken na de release gekraakt.

Ze konden een grote fout in de ransomware ontdekken door de zwakte van het coderingsalgoritme dat door de geïnfecteerde TeleCrypt wordt gebruikt, aan het licht te brengen. Het versleutelde bestanden door er telkens één byte doorheen te halen en vervolgens een byte van de sleutel toe te voegen. Met deze eenvoudige coderingsmethode konden beveiligingsonderzoekers de kwaadaardige code doorbreken.

Wat deze ransomware ongewoon maakte, was het command and control (C&C) client-server communicatiekanaal, daarom hebben de operators ervoor gekozen om het Telegram-protocol te coöpteren in plaats van HTTP / HTTPS zoals de meeste ransomware tegenwoordig - hoewel de vector merkbaar was lage en gerichte Russische gebruikers met zijn eerste versie. Rapporten suggereren dat Russische gebruikers die onbedoeld geïnfecteerde bestanden hadden gedownload en deze hadden geïnstalleerd nadat ze ten prooi waren gevallen aan phishing-aanvallen, een waarschuwingspagina te zien kregen die de gebruiker chanteerde om losgeld te betalen om hun bestanden op te halen. In dit geval wordt van slachtoffers geëist dat ze 5.000 roebel ($ 77) betalen voor het zogenaamde 'Young Programmers Fund'.

De ransomware richt zich op meer dan honderd verschillende bestandstypen, waaronder jpg, xlsx, docx, mp3, 7z, torrent of ppt.

Met de decoderingstool, Malwarebytes, kunnen slachtoffers hun bestanden herstellen zonder te betalen. U hebt echter een niet-gecodeerde versie van een vergrendeld bestand nodig om als voorbeeld te dienen om een ​​werkende decoderingssleutel te genereren. U kunt dit doen door u aan te melden bij uw e-mailaccounts, bestandssynchronisatieservices (Dropbox, Box) of van oudere systeemback-ups als u die hebt gemaakt.

Nadat de decryptor de coderingssleutel heeft gevonden, biedt deze de gebruiker de optie om een ​​lijst met alle gecodeerde bestanden of uit een specifieke map te decoderen.

Het proces werkt als volgt: het decoderingsprogramma verifieert de bestanden die u verstrekt . Als de bestanden overeenkomen en worden gecodeerd door het coderingsschema dat Telecrypt gebruikt, gaat u naar de tweede pagina van de programma-interface. Telecrypt houdt een lijst bij van alle gecodeerde bestanden op "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"

U kunt de Telecrypt ransomware-decryptor gemaakt door Malwarebytes via deze Box-link verkrijgen.