Come decifrare i file cifrati dal trojan CryptXXX con RannohDecryptor di Kaspersky

Rannohdecryptor di Kaspersky per decryptare cryptxxx, rannoh e cryaklSe siete stati infettati dal ransomware CryptXXX e vi chiedete come decriptare i file con estensione “.CRYPT” non disperatevi perché Kaspersky ha rilasciato un decryptor gratuito in grado di decifrare i documenti criptati dai trojan Rannoh, CryptXXX e Cryakl. L’antidoto sviluppato da Kaspersky ai danni prodotti dal virus si chiama RannohDecryptor ed è in grado di ricavare la chiave di cifratura analizzando un file criptato e uno originale.

Il ransomware CryptXXX, come gli altri trojan della famiglia dei cryptovirus, infetta i PC, cripta i documenti e chiede un riscatto in bitcoin. I file vengono resi illeggibili e i nomi vengono modificati aggiungendo l’estensione “.CRYPT”, mentre nelle cartelle ove sono stati cifrati i documenti vengono creati due nuovi file, “de_crypt_readme.txt”,”de_crypt_readme.html” e “de_crypt_readme.bmp”.

Messaggio con richiesta di riscatto "de_crypt_readme.bmp"

Il testo del messaggio con la richiesta di riscatto è il seguente:

NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
Your personal id 4224D8428521
For more specific instructions, please visit your personal home page,
there are a few different addresses pointing to your page below:
http://klgpco2v6jzpca4z.onion.to
http://klgpco2v6jzpca4z.onion.cab
http://klgpco2v6jzpca4z.onion.city
If for some reasons the addresses are not available, follow these steps:
Download and install tor-browser: https://torproject.org/projects/torbrowser.html.en
Video instruction: https://www.youtube.com/watch?v=NQrUZdsw2hA
After a successful installation, run the browser
Type in the address bar: http://klgpco2v6jzpca4z.onion
Follow the instructions on the site.

Rannoh Decryptor 1.9.0.0Per cominciare, scaricate il decryptor RannohDecryptor dal sito Kaspersky a questo link [WBM per la versione 1.9.0.0] e cercate un file criptato e uno non criptato, magari recuperandolo da qualche backup, pendrive (ovviamente non collegata al PC al momento dell’infezione), email o da altri PC non infetti. Avviate il software rannohdecryptor.exe prodotto dalla softwarehouse di antivirus Kaspersky e selezionate su quali dischiRannohDecryptor deve andare a cercare i file criptati.

Kaspersky Rannohdecryptor

A questo punto, vi verrà chiesto di selezionare un file criptato dal cryptovirus e di seguito lo stesso file in versione NON criptata, quindi in chiaro e originale, intatto come prima che il trojan cominciasse a fare danni. Selezionate quanto richiesto e avviate il processo di decifratura. Il software RannohDecryptor andrà a cercare tutti i file rinominati in “.CRYPT” e li decifrerà utilizzando la chiave ricavata dal confronto tra il documento criptato e quello intatto che avete selezionato al passaggio precedente.

Aggiornamento del 13 maggio 2016

E’ uscita da pochi giorni una nuova versione del ransomware CryptXXX che modifica i file in modo che il tool RannohDecryptor in versione 1.9.0.0 non riesca a decifrarli mostrando l’errore“Encrypted file size does not equal to original”. Kaspersky ha pubblicato poche ore fa un update del decryptor RannohDecryptor alla versione 1.9.1.0 che supporta ora la decifratura di file CRYPT cifrati dal ransomware CryptXXX nella sua nuova versione 2.0.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *