Telecrypt

Telecrypt Ransomware 

(шифровальщик-вымогатель) 

Translation into English

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 5000 рублей, чтобы вернуть файлы. Название составлено из двух слов: Telegram + crypt. Написан на Delphi и имеет размер более 3Мб.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Xcri. Есть другая версия этого вымогателя, в которой никакое расширение к файлам не добавляется. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана, имеющий собственное название: «Информатор». Ниже я представил в одном анимированном изображении три его окна, которые видит пострадавшая сторона. Вымогатели предлагают жертве для оплаты выкупа воспользоваться онлайн-сервисами Qiwi и Яндекс.Деньги.

Содержание трёх окон (оригинальная "грамота" сохранена):
Ярлык добавлен на рабочий стол!
Здравствуйте! Мы взломали Ваш компьютер! 
Все Ваши файлы форматов: doc, xls, jpg, jpeg, png, pdf, базы 1c, теперь зашифрованы. 
Вы можете проверить это прямо сечай!!!
Что же Вам делать?
1) Вы можете удалить ярлык этой программы, но это не поможет.
2) Вы можете вызвать мастера, но это не поможет(файлы не могут быть рашифрованы без специального ключа).
3) Вы можете переустановить Windows, но это не поможет (все ваши файлы будут удалены).
4) Вы можете нажать далее...

Приносим свои извинения за доставленые неудобства.
Для того что бы расшифровать ваши файлы Вам потребуется ключ.
Цена за ключ состовляет 5000 рублей.
Способы оплаты:
1) Qhvi-кошелек ***
2) Яндекс-кошелек ***
После оплаты нажмите кнопку далее.

После оплаты в окно ниже Вам нужно отправить ваш ID - *** и адресс электронной почты. В течение трех суток на указанный почтовый
адрес Вам придет ключ с инструкцией, если этого не произошло пожалуйста свяжитесь с нашей службой поддержки клиентов указав Ваш ID и причину обращения.
Спасибо что помогаете фонду юных программистов.

Наличие в тексте этих окон грамматических ошибок и фраза "Спасибо что помогаете фонду юных программистов" действительно выдают "юных программистов". 

Распространяться может с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.  См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Telecrypt является ботом Telegram, вероятно вымогатели получили уникальный токен мессенджера, идентифицирующий бота, и поместили его в тело зловреда. Этот прием позволяет вредоносу использовать публичный API (интерфейс программирования приложений) Telegram и поддерживать таким образом связь с злоумышленниками. Шифровальщик извещает киберпреступников о факте заражения компьютера посредством отправки сообщения в чат с заданным номером. Связь жертвы со злоумышленниками осуществляется через поле ввода в интерфейсе «Информатора». Реализована эта функциональность также через отправку Telegram-сообщения с помощью метода sendMessage. Подробнее в блоге Securelist. 

Список файловых расширений, подвергающихся шифрованию:

 .cd, .dbf, .doc, .docx, .dt, .jpeg, .jpg, .pdf, .png, .xls, .xlsx (11 расширений).

Файлы, связанные с Telecrypt Ransomware:
Xhelp.exe - модуль «Информатор»
%UserProfile%\Desktop\База зашифр файлов.txt
%Temp%\keypass.Xcri
%Temp%\Xhelp.exe
%Temp%\svchost.exe
C:\Documents and Settings\USER\Desktop\Xhelp.exe

Записи реестра, связанные с Telecrypt Ransomware:
См. ниже гибридный анализ

Сетевые подключения:
хттп://tmstroy1.ru/wp-includes/random_compat/Xhelp.exe (Прямая ссылка на "Информатор")
хттп://api.telegram.org/bot/sendm
hosts: 149.154.167.200:443 (Великобритания)
хттп://www.indyproject.org

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на Xhelp1.exe >>
Symantec: Ransom.Telecrypt >>

Степень распространённости: низкая.
Подробные сведения собираются.

Внимание!

Для зашифрованных файлов есть декриптор! 
Скачать Telecrypt Decryptor >>> 

В архиве два файла: сам декриптер и файл с инструкциями.

 Read to links: 
 Securelist.ru + Securelist.com
 ID Ransomware (ID as Telecrypt)
 Write-up on BC + Telecrypt Cracked
 Bots: An introduction for developers

 Thanks: 
 Securelist blog
 Michael Gillespie
 Catalin Cimpanu
 Malwarebytes for Decrypter
 

© Amigo-A (Andrew Ivanov): All blog articles.