Le ransomware inhabituel TeleCrypt, connu pour avoir détourné l'application de messagerie Telegram pour communiquer avec des attaquants plutôt que de simples protocoles basés sur HTTP, ne constitue plus une menace pour les utilisateurs. Grâce à l'analyste des programmes malveillants de Malware, Nathan Scott et à son équipe du Kaspersky Lab, la souche de ransomware a été craquée quelques semaines seulement après sa publication.

Ils ont pu découvrir une faille majeure du logiciel de ransomware en révélant la faiblesse de l'algorithme de cryptage utilisé par le TeleCrypt infecté. Il crypte les fichiers en y passant en boucle un octet à la fois, puis en ajoutant un octet à partir de la clé dans l’ordre. Cette méthode de cryptage simple a permis aux enquêteurs en sécurité de trouver le moyen de déchiffrer le code malveillant.

Ce qui a rendu ce ransomware inhabituel était son canal de communication client-serveur de commande et contrôle (C & C). C’est pourquoi les opérateurs ont choisi de coopter le protocole Telegram au lieu du protocole HTTP / HTTPS, comme le font la plupart des ransomwares de nos jours - même si le vecteur était visiblement utilisateurs russes bas et ciblés avec sa première version. Les rapports suggèrent que les utilisateurs russes qui téléchargeaient par inadvertance des fichiers infectés et les installaient après avoir été victimes d'attaques de phishing se voyaient présenter une page d'avertissement incitant l'utilisateur à payer une rançon pour récupérer leurs fichiers. Dans ce cas, les victimes sont tenues de verser 5 000 roubles (77 dollars) au titre du "Fonds des jeunes programmeurs".

Le ransomware cible plus de cent types de fichiers différents, notamment jpg, xlsx, docx, mp3, 7z, torrent ou ppt.

L'outil de déchiffrement, Malwarebytes, permet aux victimes de récupérer leurs fichiers sans payer. Cependant, vous avez besoin d'une version non chiffrée d'un fichier verrouillé pour servir d'exemple pour générer une clé de déchiffrement fonctionnelle. Vous pouvez le faire en vous connectant à vos comptes de messagerie, aux services de synchronisation de fichiers (Dropbox, Box) ou à partir de sauvegardes système plus anciennes, le cas échéant.

Une fois que le déchiffreur a trouvé la clé de chiffrement, il offre à l'utilisateur la possibilité de déchiffrer une liste de tous les fichiers chiffrés ou d'un dossier spécifique.

Le processus fonctionne comme suit: le programme de déchiffrement vérifie les fichiers que vous fournissez . Si les fichiers correspondent et sont cryptés selon le schéma de cryptage utilisé par Telecrypt, vous accédez ensuite à la deuxième page de l'interface du programme. Telecrypt conserve la liste de tous les fichiers chiffrés dans «% USERPROFILE% \ Desktop \ аза зашифр файлов.txt».

Vous pouvez obtenir le déchiffreur Telecrypt ransomware créé par Malwarebytes à partir de ce lien Box.