Come decifrare gratuitamente i file criptati dal ransomware Dharma.

Come decifrare e recuperare i file criptati dal ransomware DharmaGrazie alla pubblicazione su Pastebin [WBM], da parte di qualche misterioso “Robin Hood”, della master key utilizzata dal ransomware Dharma – variante del ransomware Crysis – Kaspersky ed ESET hanno pubblicato oggi un tool per decifrare gratuitamente i documenti criptati dal ransomware Dharma, che nelle ultime settimane ha causato danni ai dati di migliaia di vittime cifrando i loro dati e chiedendo un riscatto in bitcoin.

Le società di antivirus hanno sostanzialmente testato questa master key e scoperto quindi come decifrare i file e i documenti cui il ransomware Dharma aggiunge l’estensione “.dharma” e un indirizzo di posta, secondo il formato “[nome file].[indirizzo email].dharma“. Gli indirizzi email indicati nei file criptati dal ransomware dharma sono diversi, ne annoveriamo alcuni:

.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

Se vi chiedete come recuperare i documenti bloccati dal cryptovirus Dharma, avete al momento due alternative altrettanto valide.

RakhniDecryptor della società Kaspersky

Scaricate il tool RakhniDecryptor della società Kaspersky da questo link [WBM] e avviatelo, verificando (cliccando sul pulsante “About” in basso) che si tratti della versione 1.17.17.0 che supporta la decifratura dei file cifrati dal trojan Dharma.

Rakhni Decryptor decifra i dati criptati dal ransomware Dharma

Cliccate sul pulsante “Start scan” e selezionate, quando vi compare la finestra dove potete scorrere i file e le cartelle del vostro PC, un file cifrato che sia espressamente di tipo Word, Excel, PDF, musica o immagini.

A questo punto selezionate “Open” e il tool comincerà a cercare sul disco del PC e sulle condivisioni di rete i file cifrati dal criptovirus, decifrandoli uno a uno.

Crysis Decryptor della società ESET

In alternativa, scaricate il tool ESET Crysis Decryptor da questo link [WBM] e avviatelo. Il tool gratuito supporta permette di decifrare i file criptati da diverse versioni del ransomware Crysis e Dharma, con le estensioni “.xtbl”, “.crysis”, “.crypt”, “.lock”, “.crypted” e “.dharma”.

Eset Crysis Decryptor sblocca i dati cifrati dal ransomware Dharma

Il tool gratuito per decifrare i file prodotto da ESET funziona utilizzando i seguenti parametri da linea di comando:

INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma

Usage:
esetcrysisdecryptor.exe [options] <filename(s) or directory name(s)>

Options:
/s – Silent mode.
/d – Debug mode.
/h or /? – Show usage.

Il tool non elimina i file criptati, come faccio a liberarmene una volta decifrati?

Una volta decifrati, se siete sicuri di non aver più necessità di mantenere i file criptati, potete utilizzare il tool gratuito Crypto Search per raccoglierli tutti in un’unica cartella e archiviarli o, eventualmente, eliminarli. Il tool, sviluppato da Michael Gillespie, è in grado di aggiornarsi automaticamente contattando il database di ID Ransomware per acquisire informazioni sulle estensioni e le caratteristiche dei file criptati, così da poterli identificare con precisione.

E i file criptati dalla versione Dharma con estensione .wallet’

Purtroppo Dharma si è aggiornato modificando la modalità con cifra i file, per questo motivo non è ancora possibile decifrare i file cifrati e rinominati in “.WALLET, come ad esempio il Nomefile.pdf.id-12896D77.[mission_inposible@aol.com].wallet. La speranza è che anche per questa variante qualcuno riesca a ottenere la master key e a pubblicarla, come avvenuto per le altre versioni del ransomware Dharma.


Aggiornamento del 21 maggio 2017 per file criptati .wallet

Dopo una lunga attesa finalmente le vittime del ransomware Dharma possono recuperare i propri file: i ricercatori hanno scoperto come decriptare i file cifrati con estensione .WALLET dal ransomware Dharma, e Avast ha prodotto e distribuito un decryptor gratuito che recupera file cifrati dal ransomware Dharma in .WALLET ma sembra funzionare anche per alcuni file criptati con estensione .ONION, sempre prodotti della stessa famiglia Crysis di cui il trojan Dharma fa parte.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *