El inusual software de rescate TeleCrypt, conocido por secuestrar la aplicación de mensajería Telegram para comunicarse con los atacantes en lugar de simples protocolos basados en HTTP, ya no es una amenaza para los usuarios. Gracias al analista de malware de los Malwarebytes Nathan Scott junto con su equipo del Kaspersky Lab, la cepa del ransomware ha sido descifrada apenas unas semanas después de su lanzamiento.
Ellos fueron capaces de descubrir una falla mayor en el software de rescate revelando la debilidad del algoritmo de encriptación usado por el TeleCrypt infectado. Encriptaba los archivos al pasar por ellos un solo byte a la vez y luego agregaba un byte de la clave en orden. Este sencillo método de encriptación permitió a los investigadores de seguridad encontrar la forma de descifrar el código malicioso.
Lo que hizo que este software de rescate fuera poco común fue su canal de comunicaciones cliente-servidor de mando y control (C&C), razón por la cual los operadores optaron por cooptar el protocolo Telegram en lugar de HTTP/HTTTPS, como hacen la mayoría de los programas de rescate en la actualidad, a pesar de que el vector era notablemente bajo y se dirigía a los usuarios rusos con su primera versión. Los informes sugieren que a los usuarios rusos que descargaron accidentalmente archivos infectados y los instalaron después de ser víctimas de ataques de phishing se les mostró una página de advertencia que chantajeaba al usuario para que pagara un rescate por recuperar sus archivos.En este caso, se exige a las víctimas que paguen 5.000 rublos (77 dólares) por el llamado «Fondo de Jóvenes Programadores».
El ransomware apunta a más de cien tipos de archivos diferentes, incluyendo jpg, xlsx, docx, mp3, 7z, torrent o ppt.
La herramienta de desencriptación, Malwarebytes, permite a las víctimas recuperar sus archivos sin pagar. Sin embargo, necesita una versión no cifrada de un archivo bloqueado para que actúe como muestra para generar una clave de descifrado que funcione . Puede hacerlo iniciando sesión en sus cuentas de correo electrónico, servicios de sincronización de archivos (Dropbox, Box) o desde copias de seguridad de sistemas anteriores, si ha realizado alguna.
Después de que el descifrador encuentre la clave de cifrado, le ofrecerá al usuario la opción de descifrar una lista de todos los archivos cifrados o de una carpeta específica.
El proceso funciona como tal: El programa de descifrado verifica los archivos que usted proporciona . Si los archivos coinciden y están encriptados por el esquema de encriptación que utiliza Telecrypt, se le lleva a la segunda página de la interfaz del programa. Telecrypt mantiene una lista de todos los archivos cifrados en «%USERPROFILE%\\Desktop\ 070 70H8D@ D09;>2 D09;>2.txt»
Puedes obtener el descifrador de software de rescate Telecrypt creado por Malwarebytes desde este enlace Box .