Дешифровка файлов зашифрованных TeleCrypt. Расшифровка .Xcri файлов.

  Еще в ноябре 2016 года спецы из Лаборатории Касперского обнаружили вирус - шифровальщик TeleCrypt, который шифрует файлы на компьютере жертвы меняя расширение на .Xcri или оставляя его прежним.
  Данный вирус - вымогатель отправлял ключ шифрования вместе с именем компьютера жертвы (а так же идентификатор заражения) злоумышленниками через API Telegram Bot, хотя ответы от данного API вирус никак не обрабатывает.
  Написан данный попрошайка на Delphi и весит более 3 Мб, что очень много для троянца!
  Далее вымогатель загружает с ресурса на базе движка WordPress приложение - информатор
Xhelp.exe, а так же инсталлирует его, создавая ярлык на рабочем столе. Приложение сообщает пользователю о заражении и шифровании, а так же требует выкуп 5 тысяч рублей на электронные кошельки Яндекса или Qiwi.

Шифрует вымогатель файлы с расширениями .doc, xls, jpg, png, pdf, а так же базы 1C. а так же файлы изображенные на картинке ниже:

Расшифровка файлов после заражения TeleCrypt.
Для расшифровки файлов закодированных вредоносом TeleCrypt можно использовать утилиту предоставленную Malwarebytes.

• Скачиваем бесплатно утилиту от Malwarebytes здесь;
• Распаковываем архив с программой и текстовым файлом;
• Выбираем зашифрованный файл и такой же, но не шифрованный;
• Нажимаем Start и определяем ключ шифрования.

Вся проблема этого метода в том, что без незашифрованного исходного файла определить ключ шифрования программа не сможет. Не поврежденный файл можно найти к примеру во вложениях электронных писем E-mail, в облачных сервисах или бэкапах.

После получения кея можно выбрать файлы или папки для дешифровки программой - декриптором.
Для работы необходим .NET Framework 4.0!

Внимание!!! Перед использованием метода дешифровки убедитесь что вирус - вымогатель TeleCrypt успешно удален с Вашего компьютера!

Автор: BOMBERuss

Егор Юрьевич Андреев

Полезная статья? Поделись ссылкой:

Дата апдейта текста: