Malwarebytesがtelecryptランサムウェア用の無料の復号化ツールをリリース
メッセージングアプリTelegramをハイジャックして、単純なHTTPベースのプロトコルではなく攻撃者と通信することで知られる珍しいランサムウェアTeleCryptは、ユーザーにとって脅威ではなくなりました。 Malwarebytes Nathan ScottのマルウェアアナリストとKaspersky Labのチームのおかげで、ランサムウェアの緊張はリリース後数週間で解読されました。
彼らは、感染したTeleCryptが使用する暗号化アルゴリズムの弱点を明らかにすることにより、ランサムウェアの重大な欠陥を発見することができました。 ファイルを一度に1バイトずつループし、キーからバイトを順番に追加することでファイルを暗号化しました。 この単純な暗号化方法により、セキュリティ研究者は悪意のあるコードを突破することができました。
このランサムウェアが一般的ではなかったのは、コマンドアンドコントロール(C&C)クライアント/サーバー通信チャネルでした。これが、オペレーターが最近のランサムウェアのようにHTTP / HTTPSの代わりにTelegramプロトコルを選択した理由です。最初のバージョンで低レベルでターゲットを絞ったロシアのユーザー。 報告によると、フィッシング攻撃の餌食になって意図せずに感染ファイルをダウンロードしてインストールしたロシアのユーザーには、ファイルを取得するために身代金を支払うように脅迫する警告ページが表示されました。 この場合、被害者は、いわゆる「若いプログラマー基金」に対して5, 000ルーブル(77ドル)を支払うことが求められます。
ランサムウェアは、jpg、xlsx、docx、mp3、7z、torrent、pptなど、100種類を超えるファイルタイプを対象としています。
復号化ツールMalwarebytesを使用すると、被害者は支払いをせずにファイルを回復できます。 ただし、機能する復号化キーを生成するためのサンプルとして機能するには、ロックされたファイルの暗号化されていないバージョンが必要です。 電子メールアカウント、ファイル同期サービス(Dropbox、Box)にログインするか、古いシステムバックアップがある場合はそれからログインできます。
デクリプターが暗号化キーを見つけると、すべての暗号化されたファイルのリストまたは特定のフォルダーから復号化するオプションをユーザーに提示します。
プロセスは次のように機能します 。 復号化プログラムは、指定されたファイルを検証します 。 ファイルが一致し 、 Telecryptが使用する暗号化スキームによって暗号化されている場合、プログラムインターフェイスの2ページ目に移動します。 Telecryptは、すべての暗号化されたファイルのリストを「%USERPROFILE%\ Desktop \Базазашифрфайлов.txt」に保持します
このBoxリンクからMalwarebytesによって作成されたTelecryptランサムウェアデクリプターを入手できます。