باج‌افزاری که از تلگرام بهره‎برداری می‎کرد، رمزگشایی شد

۳محققان امنیتی موفق شده‌اند TeleCrypt را رمزگشایی کنند. همان‌طور که در خبرهای قبلی خواندید، TeleCrypt یک باج‌افزار رمزنگاری پرونده است که از واسط برنامه‌نویسی تلگرام برای برقراری ارتباط استفاده می‌کند. این رمزگشایی تنها دو هفته پس از انتشار این تهدید انجام می‌شود.

باج‌افزار مذکور از خدمات پیام‌رسان تلگرام برای ارتباطات با کارگزار دستور و کنترل خود استفاده می‌کند. به‌علاوه قربانیان می‌توانند در همین بستر برای مهاجمان پیام ارسال کنند. این بدافزار بلافاصله پس از آلودگی، یک بات تلگرام را در قالب کارگزار دستور و کنترل برای ارسال جزئیات مختلف درباره ماشین قربانی ایجاد می‌کند.

پس از نصب، TeleCrypt دیسک سخت را برای پیدا کردن پرونده‌های خاصی جستجو می‌کند، سپس پرونده‌های پیدا شده را رمزنگاری کرده و پسوند Xcri. را به انتهای آن‌ها اضافه می‌کند. اگرچه محققان امنیتی می‌گویند برخی انواع این بدافزار پسوند پرونده‌ها را تغییر نمی‌دهند.

نویسندگان این بدافزار در برابر کلید رمزگشایی از قربانی ۷۵ دلار درخواست می‌کنند. پرداخت این میزان پول از خدمات پرداخت روسی Qiwi و یا Yandex.Money قابل انجام است. از همان ابتدای انتشار این باج‌افزار محققان امنیتی معتقد بودند TeleCrypt توسط مجرمان سایبری توسعه داده شده که مهارت‌ کمی دارند.

به گفته محققان امنیت در Malwerbytes Labs، رمزنگاری انجام شده توسط TeleCrypt خیلی قوی نیست. این محققان امنیتی توانسته‌اند یک ابزار رمزگشایی را بسازند که به قربانیان اجازه می‌دهد بدون پرداخت باج پرونده‌های خود را بازیابی کنند. برای استفاده از این ابزار باید NET. بر روی ماشین موردنظر کار کند و نسخه رمزنشده‌ی یکی از پرونده‌های رمزنگاری‌شده نیز در دسترس باشد.

محققان می‌گویند: «TeleCrypt یک رشته تصادفی را برای رمزنگاری پرونده‌ها تولید می‌کند. طول این رشته بین ۱۰-۲۰ بوده و فقط شامل حروف vo ،pr ،bm ،xu ،zt و dq‌ است. TeleCrypt‌ رمزنگاری پرونده‌ها را با تکرار بر روی آن‌ها، هر بار یک بایت انجام داده و سپس یک بایت را از کلید اضافه می‌کند. این روش رمزنگاری ساده به ما کمک کرده است برنامه رمزگشایی را بسازیم.»

این باج‌افزار که به زبان دلفی نوشته شده از طریق هرزنامه‌ها، بهره‌برداری‌ها و راه‌اندازی از طریق بارگیری۱ توزیع می‌شود. TeleCrypt در حال حاضر فقط کاربران روسی را هدف قرار می‌دهد. پرونده‌های توضیحات این باج‌افزار نیز که برای قربانی نمایش داده می‌شوند به زبان روسی هستند.
محققان آزمایشگاه کسپرسکی هم تلاش کرده بودند تا با رمزگشایی از این بدافزار قربانیان را در بازیابی پرونده‌هایشان یاری رسانند. این شرکت امنیتی پیش از این نیز در قالب برنامه NoMoreRansom به قربانیان زیادی کمک کرده‌ بود پرونده‌های رمزنگاری‌شده‌ی خود را رمزگشایی کنند.

۱. drive-by downloads

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter