Malwarebytes ปล่อยตัวถอดรหัสลับฟรีสำหรับ Telecrypt ransomware

TeleCrypt มัลแวร์เรียกค่าไถ่ที่ไม่ธรรมดา ซึ่งเป็นที่รู้จักจากการจี้แอปส่งข้อความ Telegram เพื่อสื่อสารกับผู้โจมตี แทนที่จะเป็นโปรโตคอลแบบ HTTP ธรรมดา ไม่ได้เป็นภัยคุกคามต่อผู้ใช้อีกต่อไป ขอบคุณนักวิเคราะห์มัลแวร์สำหรับ Malwarebytes นาธาน สก็อตต์และทีมของเขาที่ Kaspersky Lab แรนซัมแวร์สายพันธุ์ใหม่ถูกถอดรหัสเพียงไม่กี่สัปดาห์หลังจากการเปิดตัว

พวกเขาสามารถค้นพบข้อบกพร่องที่สำคัญในแรนซัมแวร์โดยเปิดเผยจุดอ่อนของอัลกอริธึมการเข้ารหัสที่ใช้โดย TeleCrypt ที่ติดไวรัส มันเข้ารหัสไฟล์โดยวนซ้ำทีละไบต์จากนั้นเพิ่มไบต์จากคีย์ตามลำดับ วิธีการเข้ารหัสอย่างง่ายนี้ช่วยให้นักวิจัยด้านความปลอดภัยสามารถถอดรหัสรหัสที่เป็นอันตรายได้

สิ่งที่ทำให้แรนซัมแวร์นี้ไม่ธรรมดาคือช่องทางการสื่อสารระหว่างเซิร์ฟเวอร์กับคำสั่งและการควบคุม (C&C) ซึ่งเป็นสาเหตุที่โอเปอเรเตอร์เลือกที่จะร่วมมือ โปรโตคอลโทรเลขแทน HTTP/HTTPS เหมือนแรนซัมแวร์ส่วนใหญ่ที่ทำในทุกวันนี้ แม้ว่าเวกเตอร์จะต่ำอย่างเห็นได้ชัดและกำหนดเป้าหมายผู้ใช้ชาวรัสเซียด้วยครั้งแรก รุ่น รายงานระบุว่าผู้ใช้ชาวรัสเซียที่ดาวน์โหลดไฟล์ที่ติดไวรัสและติดตั้งหลังจากล้มลงโดยไม่ได้ตั้งใจ เหยื่อการโจมตีแบบฟิชชิ่งแสดงหน้าคำเตือนที่แบล็กเมล์ผู้ใช้ให้จ่ายค่าไถ่เพื่อเรียกค้น ไฟล์. ในกรณีนี้ เหยื่อจะต้องจ่ายเงิน 5,000 รูเบิล ($77) สำหรับสิ่งที่เรียกว่า "กองทุน Young Programmers Fund"

แรนซัมแวร์กำหนดเป้าหมายไฟล์มากกว่าร้อยประเภทรวมถึง jpg, xlsx, docx, mp3, 7z, torrent หรือ ppt

เครื่องมือถอดรหัส, Malwarebytes อนุญาตให้เหยื่อกู้คืนไฟล์โดยไม่ต้องจ่ายเงิน อย่างไรก็ตาม คุณต้องใช้เวอร์ชันที่ไม่ได้เข้ารหัสของไฟล์ที่ถูกล็อกเพื่อทำหน้าที่เป็นตัวอย่างเพื่อ สร้างคีย์ถอดรหัสที่ใช้งานได้. คุณสามารถทำได้โดยลงชื่อเข้าใช้บัญชีอีเมล บริการซิงค์ไฟล์ (Dropbox, Box) หรือจากข้อมูลสำรองระบบที่เก่ากว่า หากมี

หลังจากที่ตัวถอดรหัสพบคีย์เข้ารหัสแล้ว ตัวถอดรหัสจะแสดงตัวเลือกให้ผู้ใช้ถอดรหัสรายการของไฟล์ที่เข้ารหัสทั้งหมดหรือจากโฟลเดอร์เฉพาะ

กระบวนการทำงานดังนี้: โปรแกรมถอดรหัสจะตรวจสอบไฟล์ที่คุณให้มา. หากไฟล์ตรงกัน และ ถูกเข้ารหัสโดยรูปแบบการเข้ารหัสที่ Telecrypt ใช้ จากนั้นคุณจะถูกนำทางไปยังหน้าที่สองของอินเทอร์เฟซโปรแกรม Telecrypt เก็บรายการไฟล์ที่เข้ารหัสทั้งหมดที่ “%USERPROFILE%\Desktop\База зашифр файлов.txt”

คุณสามารถรับตัวถอดรหัสลับ Telecrypt ransomware ที่สร้างโดย Malwarebytes จากลิงค์กล่องนี้.