Den ovanliga ransomware TeleCrypt, känd för att ha kapat meddelandeaappen Telegram för att kommunicera med angripare snarare än enkla HTTP-baserade protokoll, är inte längre ett hot för användare. Tack vare malware-analytiker för Malwarebytes Nathan Scott tillsammans med sitt team på Kaspersky Lab har ransomware-belastningen knäckts bara veckor efter att den släpptes.

De kunde upptäcka en stor brist i ransomware genom att avslöja svagheten i krypteringsalgoritmen som används av den infekterade TeleCrypt. Det krypterade filer genom att slinga genom dem en enda byte åt gången och sedan lägga till en byte från nyckeln i ordning. Denna enkla krypteringsmetod tillät säkerhetsforskare ett sätt att spricka igenom den skadliga koden.

Det som gjorde detta ransomware ovanligt var dess kommandot och kontroll (C&C) klient-serverkommunikationskanal, varför operatörerna valde att välja Telegram-protokollet istället för HTTP / HTTPS som de flesta ransomware gör idag - även om vektorn var märkbar låga och riktade ryska användare med sin första version. Rapporter tyder på att ryska användare som oavsiktligt laddade ner infekterade filer och installerade dem efter att ha fallit till byte mot phishingattacker fick en varningssida som utpressar användaren till att betala en lösning för att hämta sina filer. I detta fall krävs offren att betala 5 000 rubel ($ 77) för den så kallade "Young Programmers Fund".

Ransomware riktar sig till över hundra olika filtyper inklusive jpg, xlsx, docx, mp3, 7z, torrent eller ppt.

Avkrypteringsverktyget, Malwarebytes, tillåter offren att återställa sina filer utan att betala. Du behöver dock en okrypterad version av en låst fil för att fungera som ett prov för att generera en fungerande dekrypteringsnyckel. Du kan göra det genom att logga in på dina e-postkonton, filsynkroniseringstjänster (Dropbox, Box) eller från äldre säkerhetskopior om du gjort några.

När dekrypteraren har hittat krypteringsnyckeln kommer den sedan att ge användaren möjlighet att dekryptera en lista över alla krypterade filer eller från en specifik mapp.

Processen fungerar som sådan: Avkrypteringsprogrammet verifierar filerna du tillhandahåller . Om filerna matchar och är krypterade av det krypteringsschema som Telecrypt använder, navigeras du sedan till den andra sidan i programgränssnittet. Telecrypt har en lista över alla krypterade filer på "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"

Du kan få Telecrypt ransomware-dekrypteraren skapad av Malwarebytes från denna länk till rutan.