O incomum TeleCrypt de ransomware, conhecido por seqüestrar o aplicativo de mensagens Telegram para se comunicar com atacantes em vez de simples protocolos baseados em HTTP, não é mais uma ameaça para os usuários. Graças ao analista de malware de Malwarebytes Nathan Scott, juntamente com sua equipe no Kaspersky Lab, a variedade de ransomware foi quebrada apenas algumas semanas após seu lançamento.

Eles conseguiram descobrir uma grande falha no ransomware, revelando a fraqueza do algoritmo de criptografia usado pelo TeleCrypt infectado. Ele criptografou os arquivos fazendo um loop com um único byte de cada vez e adicionando um byte da chave em ordem. Esse método simples de criptografia permitiu aos pesquisadores de segurança uma maneira de descobrir o código malicioso.

O que tornou esse ransomware incomum foi o canal de comunicação cliente-servidor de comando e controle (C&C), razão pela qual os operadores optaram por cooptar o protocolo Telegram em vez de HTTP / HTTPS, como a maioria dos ransomware faz atualmente - mesmo que o vetor tenha sido visivelmente usuários russos baixos e direcionados com sua primeira versão. Os relatórios sugerem que os usuários russos que baixaram arquivos infectados acidentalmente e os instalaram após serem vítimas de ataques de phishing receberam uma página de aviso chantageando o usuário a pagar um resgate para recuperar seus arquivos. Nesse caso, as vítimas são obrigadas a pagar 5.000 rublos (US $ 77) pelo chamado "Fundo para Jovens Programadores".

O ransomware tem como alvo mais de cem tipos diferentes de arquivos, incluindo jpg, xlsx, docx, mp3, 7z, torrent ou ppt.

A ferramenta de descriptografia, Malwarebytes, permite que as vítimas recuperem seus arquivos sem pagar. No entanto, você precisa de uma versão não criptografada de um arquivo bloqueado para atuar como uma amostra para gerar uma chave de descriptografia em funcionamento. Você pode fazer isso fazendo login em suas contas de email, serviços de sincronização de arquivos (Dropbox, Box) ou em backups mais antigos do sistema, se você tiver feito algum.

Depois que o decodificador encontrar a chave de criptografia, ele apresentará ao usuário a opção de descriptografar uma lista de todos os arquivos criptografados ou de uma pasta específica.

O processo funciona da seguinte maneira: O programa de decriptografia verifica os arquivos que você fornece . Se os arquivos corresponderem e forem criptografados pelo esquema de criptografia utilizado pelo Telecrypt, você será direcionado para a segunda página da interface do programa. O Telecrypt mantém uma lista de todos os arquivos criptografados em "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"

Você pode obter o decodificador Telecrypt ransomware criado por Malwarebytes a partir deste link da caixa.