Die ungewöhnliche Ransomware TeleCrypt, die dafür bekannt ist, dass sie die Messaging-App Telegram missbraucht, um mit Angreifern statt mit einfachen HTTP-basierten Protokollen zu kommunizieren, ist für Benutzer keine Bedrohung mehr. Dank des Malware-Analysten für Malwarebytes Nathan Scott und seines Teams im Kaspersky Lab wurde die Ransomware-Belastung nur wenige Wochen nach ihrer Veröffentlichung geknackt.

Sie konnten einen großen Fehler in der Ransomware aufdecken, indem sie die Schwäche des von dem infizierten TeleCrypt verwendeten Verschlüsselungsalgorithmus aufdeckten. Es verschlüsselt Dateien, indem es jeweils ein einzelnes Byte durchläuft und dann der Reihe nach ein Byte vom Schlüssel hinzufügt. Diese einfache Verschlüsselungsmethode ermöglichte es Sicherheitsforschern, den Schadcode zu knacken.

Was diese Ransomware so ungewöhnlich machte, war der Client-Server-Kommunikationskanal Command and Control (C & C). Aus diesem Grund entschieden sich die Betreiber dafür, das Telegramm-Protokoll anstelle von HTTP / HTTPS zu verwenden, wie es die meisten Ransomwares heutzutage tun - obwohl der Vektor merklich war niedrige und gezielte russische Benutzer mit seiner ersten Version. Berichten zufolge wurde russischen Benutzern, die versehentlich infizierte Dateien heruntergeladen und installiert hatten, nachdem sie Phishing-Angriffen zum Opfer gefallen waren, eine Warnseite angezeigt, auf der der Benutzer zum Bezahlen eines Lösegelds zum Abrufen seiner Dateien erpresst wurde. In diesem Fall müssen die Opfer 5.000 Rubel (77 USD) für den sogenannten „Young Programmers Fund“ zahlen.

Die Ransomware zielt auf über hundert verschiedene Dateitypen ab, darunter jpg, xlsx, docx, mp3, 7z, torrent oder ppt.

Mit dem Entschlüsselungstool Malwarebytes können Opfer ihre Dateien wiederherstellen, ohne dafür bezahlen zu müssen. Sie benötigen jedoch eine unverschlüsselte Version einer gesperrten Datei, um als Beispiel für die Generierung eines funktionierenden Entschlüsselungsschlüssels zu dienen. Melden Sie sich dazu bei Ihren E-Mail-Konten, bei den Dateisynchronisierungsdiensten (Dropbox, Box) oder bei älteren Systemsicherungen an, falls Sie solche erstellt haben.

Nachdem der Entschlüsseler den Verschlüsselungsschlüssel gefunden hat, hat der Benutzer die Möglichkeit, eine Liste aller verschlüsselten Dateien oder eines bestimmten Ordners zu entschlüsseln.

Der Vorgang funktioniert folgendermaßen: Das Entschlüsselungsprogramm überprüft die von Ihnen bereitgestellten Dateien . Wenn die Dateien mit dem von Telecrypt verwendeten Verschlüsselungsschema übereinstimmen und verschlüsselt sind, werden Sie zur zweiten Seite der Programmoberfläche geleitet. Telecrypt führt eine Liste aller verschlüsselten Dateien unter „% USERPROFILE% \ Desktop \ База зашифр файлов.txt“.

Sie können den von Malwarebytes erstellten Telecrypt Ransomware-Entschlüsseler über diesen Box-Link herunterladen.