메시징 응용 프로그램 Telegram을 하이재킹하여 단순한 HTTP 기반 프로토콜이 아닌 공격자와 통신하는 것으로 알려진 특이한 랜섬웨어 TeleCrypt는 더 이상 사용자에게 위협이되지 않습니다. Kaspersky Lab의 팀과 함께 Malwarebytes Nathan Scott의 악성 코드 분석가 덕분에 랜섬웨어의 변종은 출시 된 지 몇 주 만에 크랙되었습니다.

그들은 감염된 TeleCrypt가 사용하는 암호화 알고리즘의 약점을 밝혀 랜섬웨어의 주요 결함을 발견 할 수있었습니다. 파일을 한 번에 한 바이트 씩 반복 한 다음 키의 바이트를 순서대로 추가하여 파일을 암호화했습니다. 이 간단한 암호화 방법을 통해 보안 연구원은 악성 코드를 해독 할 수있었습니다.

이 랜섬웨어를 흔하게 만든 것은 명령 및 제어 (C & C) 클라이언트-서버 통신 채널이었습니다. 이는 운영자가 요즘 대부분의 랜섬웨어처럼 HTTP / HTTPS 대신 텔레 그램 프로토콜을 선택하기로 선택한 이유입니다. 첫 번째 버전의 러시아 사용자를 대상으로합니다. 보고서에 따르면 의도하지 않게 감염된 파일을 다운로드하여 피싱 공격에 감염된 후 설치 한 러시아 사용자에게는 파일을 검색하기 위해 몸값을 지불하라는 경고 페이지가 표시되는 것으로 나타났습니다. 이 경우 피해자는 소위 "젊은 프로그래머 기금"에 5, 000 루블 (77 달러)을 지불해야합니다.

랜섬웨어는 jpg, xlsx, docx, mp3, 7z, 토렌트 또는 ppt를 포함하여 수백 가지가 넘는 파일 형식을 대상으로합니다.

암호 해독 도구 인 Malwarebytes를 사용하면 피해자가 비용을 지불하지 않고 파일을 복구 할 수 있습니다. 그러나 작동중인 암호 해독 키를 생성하기위한 샘플 역할을하려면 암호화되지 않은 버전의 잠긴 파일이 필요합니다. 이메일 계정, 파일 동기화 서비스 (Dropbox, Box) 또는 이전 시스템 백업 (있는 경우)에 로그인하여 로그인 할 수 있습니다.

암호 해독기가 암호화 키를 찾은 후 모든 암호화 된 파일 목록 또는 특정 폴더에서 암호 해독 옵션을 사용자에게 제공합니다.

프로세스는 다음과 같이 작동합니다. 암호 해독 프로그램은 사용자가 제공 한 파일을 확인합니다 . 파일이 Telecrypt에서 사용하는 암호화 체계로 일치 하고 암호화 된 경우 프로그램 인터페이스의 두 번째 페이지로 이동합니다. Telecrypt는 모든 암호화 된 파일 목록을“% USERPROFILE % \ Desktop \ База зашифр файлов.txt”에 유지합니다.

이 Box 링크에서 Malwarebytes로 만든 Telecrypt 랜섬웨어 암호 해독기를 얻을 수 있습니다.