71
Un analista del Malwarebytes team ha creato e rilasciato uno strumento di decriptazione dedicato alla famiglia del ransomware Telecrypt, ransom scoperto da qualche settimana da Kaspersky.
Questo ransom usa la piattaforma Telegram per la sua diffusione, esattamente tramite un Bot creato ad hoc tramite apposite API di Telegram, dopo l’avvio il ransom cerca e cripta i file con estensione DOC, DOCX, XLS, XLSX, JPG, JPEG, PNG, DT, DBF, CD, PDF; dopo la criptazione viene scaricato, usando la medesima API con una modifica, un file chiamato xhelp.exe che avvia il software ove troviamo le istruzioni/riscatto per il recupero dei nostri file. Il ransom è di origine russa, infatti il pagamento è in 5000 rubli che sono circa $ 80.
Per fortuna, quindi, è stata trovato il modo di decriptare questi file infetti, lo strumento è scaricabile da qui
Il funzionamento è simile ad altri strumenti di questo tipo, ovvero viene richiesto di inserire un file criptato ed un file (il medesimo) NON criptato: questi file possiamo trovarli in un backup offline o in un backup nel cloud, come Dropbox, Onedrive ecc
