Malwarebytes发布用于Telecrypt勒索软件的免费解密器
不寻常的勒索软件TeleCrypt以劫持消息传递应用程序Telegram来与攻击者进行通信而不是简单的基于HTTP的协议而闻名,它不再对用户构成威胁。 多亏了Malwarebytes的恶意软件分析师Nathan Scott和他在卡巴斯基实验室的团队,勒索软件才在发布后几周就被破解了。
通过揭示受感染的TeleCrypt使用的加密算法的弱点,他们能够发现勒索软件的主要缺陷。 它通过一次遍历单个字节然后按顺序从密钥中添加一个字节来加密文件。 这种简单的加密方法使安全研究人员可以破解恶意代码。
使得这种勒索软件不常见的是其命令和控制(C&C)客户端-服务器通信通道,这就是为什么运营商选择像如今大多数勒索软件一样选择Telegram协议而不是HTTP / HTTPS的原因-尽管向量很明显较低且针对俄罗斯用户的第一版。 报告表明,俄罗斯用户无意中下载了受感染的文件并在遭受网络钓鱼攻击后被安装,并显示了警告页面,勒索用户勒索赎金以恢复其文件。 在这种情况下,要求受害者为所谓的“青年程序员基金”支付5, 000卢布(77美元)。
勒索软件的目标是一百多种文件类型,包括jpg,xlsx,docx,mp3、7z,torrent或ppt。
解密工具Malwarebytes使受害者无需付费即可恢复其文件。 但是,您需要锁定文件的未加密版本才能作为示例来生成有效的解密密钥。 您可以通过登录电子邮件帐户,文件同步服务(Dropbox,Box)或通过旧系统备份(如果有的话)来实现。
解密者找到加密密钥后,它将为用户提供选择解密所有加密文件或一个特定文件夹的列表的选项。
该过程的工作原理如下:解密程序验证您提供的文件 。 如果文件匹配 并 通过Telecrypt使用的加密方案进行了加密,则将导航到程序界面的第二页。 Telecrypt在“%USERPROFILE%\ Desktop \Базазашифрфайлов.txt”中保留所有加密文件的列表。
您可以从此Box链接获取由Malwarebytes创建的Telecrypt勒索软件解密器。