El inusual ransomware TeleCrypt, conocido por secuestrar la aplicación de mensajería Telegram para comunicarse con atacantes en lugar de simples protocolos basados ​​en HTTP, ya no es una amenaza para los usuarios. Gracias al analista de malware para Malwarebytes Nathan Scott junto con su equipo en el Laboratorio Kaspersky, la variedad de ransomware se ha descifrado pocas semanas después de su lanzamiento.

Pudieron descubrir una falla importante en el ransomware al revelar la debilidad del algoritmo de cifrado utilizado por el TeleCrypt infectado. Cifró los archivos al recorrerlos un byte a la vez y luego agregó un byte de la clave en orden. Este sencillo método de cifrado permitió a los investigadores de seguridad una forma de descifrar el código malicioso.

Lo que hizo que este ransomware fuera poco común fue su canal de comunicaciones cliente-servidor de comando y control (C&C), razón por la cual los operadores eligieron cooptar el protocolo Telegram en lugar de HTTP / HTTPS como la mayoría de los ransomware hacen en estos días, a pesar de que el vector era notablemente usuarios rusos bajos y específicos con su primera versión. Los informes sugieren que a los usuarios rusos que descargaron involuntariamente archivos infectados y los instalaron después de ser víctimas de ataques de phishing se les mostró una página de advertencia que chantajeaba al usuario para que pagara un rescate para recuperar sus archivos. En este caso, se exige a las víctimas que paguen 5, 000 rublos ($ 77) por el llamado "Fondo de Jóvenes Programadores".

El ransomware se dirige a más de cien tipos de archivos diferentes, incluidos jpg, xlsx, docx, mp3, 7z, torrent o ppt.

La herramienta de descifrado, Malwarebytes, permite a las víctimas recuperar sus archivos sin pagar. Sin embargo, necesita una versión sin cifrar de un archivo bloqueado para que actúe como muestra para generar una clave de descifrado que funcione. Puede hacerlo iniciando sesión en sus cuentas de correo electrónico, servicios de sincronización de archivos (Dropbox, Box) o desde copias de seguridad del sistema anteriores si realizó alguna.

Después de que el descifrador encuentre la clave de cifrado, le presentará al usuario la opción de descifrar una lista de todos los archivos cifrados o de una carpeta específica.

El proceso funciona como tal: el programa de descifrado verifica los archivos que proporciona . Si los archivos coinciden y están encriptados por el esquema de encriptación que utiliza Telecrypt, se le dirigirá a la segunda página de la interfaz del programa. Telecrypt mantiene una lista de todos los archivos cifrados en "% USERPROFILE% \ Desktop \ База зашифр файлов.txt"

Puede obtener el descifrador de ransomware Telecrypt creado por Malwarebytes desde este enlace de Box.