Le ransomware inhabituel TeleCrypt, connu pour avoir détourné l'application de messagerie Telegram pour communiquer avec des attaquants plutôt que de simples protocoles basés sur HTTP, n'est plus une menace pour les utilisateurs. Grâce à l'analyste de logiciels malveillants pour Malwarebytes Nathan Scott et à son équipe du Kaspersky Lab, la souche de ransomware a été craquée quelques semaines seulement après sa sortie..
Ils ont pu découvrir une faille majeure du ransomware en révélant la faiblesse de l'algorithme de cryptage utilisé par le TeleCrypt infecté. Il a chiffré les fichiers en les parcourant en boucle un octet à la fois, puis en ajoutant un octet à partir de la clé dans l'ordre. Cette méthode simple de cryptage a permis aux chercheurs en sécurité de déchiffrer le code malveillant.
Ce qui a rendu ce ransomware rare était son canal de communication client-serveur de commande et de contrôle (C&C), c'est pourquoi les opérateurs ont choisi de coopter le protocole Telegram au lieu de HTTP / HTTPS comme le font la plupart des ransomwares de nos jours - même si le vecteur était visiblement utilisateurs russes bas et ciblés avec sa première version. Les rapports suggèrent que les utilisateurs russes qui ont involontairement téléchargé des fichiers infectés et les ont installés après avoir été la proie d'attaques de phishing ont vu une page d'avertissement faisant chanter l'utilisateur pour qu'il paye une rançon pour récupérer leurs fichiers. Dans ce cas, les victimes doivent payer 5 000 roubles (77 dollars) pour le soi-disant «Fonds des jeunes programmeurs».
Le ransomware cible plus de cent types de fichiers différents, y compris jpg, xlsx, docx, mp3, 7z, torrent ou ppt.
L'outil de décryptage, Malwarebytes, permet aux victimes de récupérer leurs fichiers sans payer. Cependant, vous avez besoin d'une version non chiffrée d'un fichier verrouillé pour servir d'exemple pour générer une clé de déchiffrement fonctionnelle. Vous pouvez le faire en vous connectant à vos comptes de messagerie, aux services de synchronisation de fichiers (Dropbox, Box) ou à partir de sauvegardes système plus anciennes si vous en avez effectué.
Une fois que le décrypteur a trouvé la clé de cryptage, il présentera alors à l'utilisateur la possibilité de décrypter une liste de tous les fichiers cryptés ou à partir d'un dossier spécifique.
Le processus fonctionne comme tel: le programme de décryptage vérifie les fichiers que vous fournissez. Si les fichiers correspondent et sont cryptés par le schéma de cryptage utilisé par Telecrypt, vous êtes alors dirigé vers la deuxième page de l'interface du programme. Telecrypt conserve une liste de tous les fichiers chiffrés dans «% USERPROFILE% \ Desktop \ База зашифр файлов.txt»
Vous pouvez obtenir le décrypteur de ransomware Telecrypt créé par Malwarebytes à partir de ce lien Box.
- Problèmes de Malwarebytes
- teleCrypt
- Télégramme