четверг, 1 декабря 2016 г.

Дешифровка файлов зашифрованных TeleCrypt. Расшифровка .Xcri файлов.

Расшифровка .Xcri зашифрованных TeleCrypt
  Еще в ноябре 2016 года спецы из Лаборатории Касперского обнаружили вирус - шифровальщик TeleCrypt, который шифрует файлы на компьютере жертвы меняя расширение на .Xcri или оставляя его прежним.
  Данный вирус - вымогатель отправлял ключ шифрования вместе с именем компьютера жертвы (а так же идентификатор заражения) злоумышленниками через API Telegram Bot, хотя ответы от данного API вирус никак не обрабатывает.
  Написан данный попрошайка на Delphi и весит более 3 Мб, что очень много для троянца!
  Далее вымогатель загружает с ресурса на базе движка WordPress приложение - информатор
Xhelp.exe, а так же инсталлирует его, создавая ярлык на рабочем столе. Приложение сообщает пользователю о заражении и шифровании, а так же требует выкуп 5 тысяч рублей на электронные кошельки Яндекса или Qiwi.

Информатор TeleCrypt

Шифрует вымогатель файлы с расширениями .doc, xls, jpg, png, pdf, а так же базы 1C. а так же файлы изображенные на картинке ниже:
Файлы зашифрованные вирусом - вымогателем TeleCrypt

Расшифровка файлов после заражения TeleCrypt.
Для расшифровки файлов закодированных вредоносом TeleCrypt можно использовать утилиту предоставленную Malwarebytes.

  • Скачиваем бесплатно утилиту от Malwarebytes здесь;
  • Распаковываем архив с программой и текстовым файлом;
  • Выбираем зашифрованный файл и такой же, но не шифрованный;
  • Нажимаем Start и определяем ключ шифрования.
Вся проблема этого метода в том, что без незашифрованного исходного файла определить ключ шифрования программа не сможет. Не поврежденный файл можно найти к примеру во вложениях электронных писем E-mail, в облачных сервисах или бэкапах.

Работа TeleCrypt Decryptor

После получения кея можно выбрать файлы или папки для дешифровки программой - декриптором.
Для работы необходим .NET Framework 4.0!

Внимание!!! Перед использованием метода дешифровки убедитесь что вирус - вымогатель TeleCrypt успешно удален с Вашего компьютера!

Автор: BOMBERuss Егор Юрьевич Андреев

Полезная статья? Поделись ссылкой:

Дата апдейта текста:

Комментариев нет:

Отправить комментарий

Не забудьте оставить комментарий- нам важно Ваше мнение!

ВВЕРХ