Необични рансомваре ТелеЦрипт, познат по отмици апликације за слање порука Телеграм ради комуникације с нападачима, а не једноставним протоколима заснованим на ХТТП-у, више не представља претњу за кориснике. Захваљујући аналитичару злонамјерног софтвера за Малваребитес Натхан Сцотт, заједно са својим тимом у Касперски Лаб, сок рансомвареа пукнут је само неколико недеља након објављивања.

Били су у стању да открију велику грешку у рансомваре-у откривањем слабости алгоритма за шифровање који користи заражени ТелеЦрипт. Она шифрира датотеке тако што је претраживала по један појединачни бајт, а затим додала бајт из кључа по реду. Ова једноставна метода шифровања омогућила је истраживачима безбедности начин да провале злонамерни код.

Оно што је учинило овај рансомваре неуобичајеним је његова команда и контрола (Ц&Ц) комуникацијски канал клијент-сервер, због чега су оператори изабрали да одаберу телеграм протокол уместо ХТТП / ХТТПС као што већина ових рансомвара ради ових дана - иако је вектор био приметан ниски и циљани руски корисници са његовом првом верзијом. Извештаји указују да су руским корисницима који су ненамјерно преузимали заражене датотеке и инсталирали их након пада плена за пхисхинг нападе приказана страница упозорења која уцењује корисника да плати откупнину за преузимање својих датотека. У овом случају се од жртава тражи да плате 5000 рубаља (77 долара) за такозвани „Фонд младих програмера“.

Рансомваре циља преко стотину различитих типова датотека, укључујући јпг, клск, доцк, мп3, 7з, торрент или ппт.

Алат за дешифрирање, Малваребитес, омогућава жртвама да опораве своје датотеке без плаћања. Међутим, потребна вам је нешифрирана верзија закључане датотеке да бисте радили као узорак за генерисање радног кључа за дешифровање. То можете учинити пријављивањем на своје налоге е-поште, услугама синхронизације датотека (Дропбок, Бок) или са старијих сигурносних копија система ако сте их направили.

Након што дешифратор нађе кључ за шифровање, тада ће кориснику пружити могућност да дешифрује списак свих шифрованих датотека или из једне одређене мапе.

Процес функционира као такав: Програм за дешифрирање потврђује датотеке које сте унели . Ако се датотеке подударају и шифрирају помоћу схеме шифрирања коју користи Телецрипт, тада ћете бити помакнути на другу страницу програмског сучеља. Телецрипт чува листу свих шифрованих датотека на „% УСЕРПРОФИЛЕ% \ Десктоп \ База зашифр фајл.ткт“

Можете набавити декриптор за откупни софтвер Телецрипт креиран од Малваребитес са ове Бок везе.