L'insolito ransomware TeleCrypt, noto per dirottare l'app di messaggistica Telegram per comunicare con gli aggressori anziché semplici protocolli basati su HTTP, non è più una minaccia per gli utenti. Grazie all'analista di malware per Malwarebytes Nathan Scott insieme al suo team presso il Kaspersky Lab, il ceppo del ransomware è stato risolto poche settimane dopo la sua uscita.

Sono stati in grado di scoprire un grave difetto nel ransomware rivelando la debolezza dell'algoritmo di crittografia utilizzato da TeleCrypt infetto. Ha crittografato i file eseguendo il ciclo attraverso di essi un singolo byte alla volta e quindi aggiungendo un byte dalla chiave in ordine. Questo semplice metodo di crittografia ha consentito ai ricercatori della sicurezza di sfogliare il codice dannoso.

Ciò che ha reso insolito questo ransomware è stato il suo canale di comunicazione client-server di comando e controllo (C&C), motivo per cui gli operatori hanno scelto di cooptare il protocollo Telegram invece di HTTP / HTTPS come fanno la maggior parte dei ransomware in questi giorni - anche se il vettore era notevolmente utenti russi bassi e mirati con la sua prima versione. I rapporti suggeriscono che agli utenti russi che hanno scaricato involontariamente file infetti e li hanno installati dopo essere caduti preda di attacchi di phishing è stata mostrata una pagina di avviso che ricattava l'utente pagando un riscatto per recuperare i propri file. In questo caso, alle vittime viene chiesto di pagare 5.000 rubli ($ 77) per il cosiddetto "Fondo per giovani programmatori".

Il ransomware si rivolge a oltre cento diversi tipi di file tra cui jpg, xlsx, docx, mp3, 7z, torrent o ppt.

Lo strumento di decrittazione, Malwarebytes, consente alle vittime di recuperare i propri file senza pagare. Tuttavia, è necessaria una versione non crittografata di un file bloccato per fungere da esempio per generare una chiave di decrittazione funzionante. Puoi farlo accedendo ai tuoi account e-mail, servizi di sincronizzazione dei file (Dropbox, Box) o da backup di sistema precedenti, se ne hai fatto uno.

Una volta trovata la chiave di crittografia, il decryptor presenterà all'utente l'opzione per decrittografare un elenco di tutti i file crittografati o da una cartella specifica.

Il processo funziona come tale: il programma di decodifica verifica i file forniti . Se i file corrispondono e sono crittografati dallo schema di crittografia utilizzato da Telecrypt, si passa alla seconda pagina dell'interfaccia del programma. Telecrypt mantiene un elenco di tutti i file crittografati in "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"

È possibile ottenere il decryptor Telecrypt ransomware creato da Malwarebytes da questo collegamento Box.