TeleCrypt ransomware bất thường, được biết là đã đánh cắp ứng dụng nhắn tin Telegram để liên lạc với những kẻ tấn công thay vì các giao thức dựa trên HTTP đơn giản, không còn là mối đe dọa đối với người dùng. Nhờ nhà phân tích phần mềm độc hại cho Malwarebytes, ông Nathan Scott cùng với nhóm của ông tại Phòng thí nghiệm Kaspersky, dòng ransomware đã bị bẻ khóa chỉ vài tuần sau khi phát hành.

Họ đã có thể phát hiện ra một lỗ hổng lớn trong ransomware bằng cách tiết lộ điểm yếu của thuật toán mã hóa được sử dụng bởi TeleCrypt bị nhiễm. Nó mã hóa các tệp bằng cách lặp qua chúng một byte mỗi lần và sau đó thêm một byte từ khóa theo thứ tự. Phương pháp mã hóa đơn giản này cho phép các nhà nghiên cứu bảo mật tìm cách bẻ khóa mã độc.

Điều khiến cho phần mềm ransomware này trở nên không phổ biến là kênh liên lạc giữa máy khách và máy chủ (C & C) của nó, đó là lý do tại sao các nhà khai thác chọn đồng chọn giao thức Telegram thay vì HTTP / HTTPS như hầu hết các ransomware hiện nay - mặc dù vectơ đáng chú ý người dùng Nga thấp và nhắm mục tiêu với phiên bản đầu tiên của nó. Các báo cáo cho thấy rằng người dùng Nga đã vô tình tải xuống các tệp bị nhiễm và cài đặt chúng sau khi rơi vào các cuộc tấn công lừa đảo đã hiển thị một trang cảnh báo tống tiền người dùng trả tiền chuộc để lấy lại tệp của họ. Trong trường hợp này, các nạn nhân được yêu cầu trả 5.000 rúp (77 đô la) cho cái gọi là Quỹ lập trình viên trẻ tuổi.

Các ransomware nhắm mục tiêu hơn hàng trăm loại tệp khác nhau bao gồm jpg, xlsx, docx, mp3, 7z, torrent hoặc ppt.

Công cụ giải mã, Malwarebytes, cho phép nạn nhân khôi phục các tệp của họ mà không phải trả tiền. Tuy nhiên, bạn cần một phiên bản không được mã hóa của một tệp bị khóa để hoạt động như một mẫu để tạo khóa giải mã hoạt động. Bạn có thể làm như vậy bằng cách đăng nhập vào tài khoản email, dịch vụ đồng bộ hóa tệp (Dropbox, Box) hoặc từ bản sao lưu hệ thống cũ hơn nếu bạn thực hiện bất kỳ.

Sau khi bộ giải mã tìm thấy khóa mã hóa, nó sẽ hiển thị cho người dùng tùy chọn giải mã danh sách tất cả các tệp được mã hóa hoặc từ một thư mục cụ thể.

Quá trình hoạt động như vậy: Chương trình giải mã xác minh các tệp bạn cung cấp . Nếu các tệp khớp và được mã hóa bởi sơ đồ mã hóa mà Telecrypt sử dụng, thì bạn sẽ được điều hướng đến trang thứ hai của giao diện chương trình. Telecrypt giữ một danh sách tất cả các tập tin được mã hóa ở mức %% USERPROFILE% \ Desktop \ Việt Nam зашифрффффффффффф

Bạn có thể nhận được bộ giải mã ransomware Telecrypt được tạo bởi Malwarebytes từ liên kết Box này.