Come decifrare file .XTBL criptati dal ransomware CrySiS

Grazie a un messaggio pubblicato sul forum Bleeping Computer da un utente con il nick crs7777, è stato possibile per Kaspersky Labs aggiornare il suo tool gratuito RakhniDecrpytor per supportare il cryptovirus CrySiS, permettendo così alle vittime di decifrare i dati con estensione .XTBL criptati dal crypto trojan senza pagare il riscatto.

Il decryptor è stato aggiornato grazie al codice pubblicato dall’anonimo autore su PasteBin [WBM], contenente un header in linguaggio C che riporta la master key per decifrare i file codificati dal ransomware.

Il ransomware CrySiS cifra i file rinominandoli secondo questo schema:

[nome del file].id-[id].[indirizzo email].xtbl

Ad esempio, le varianti più recenti del criptovirus cifrano i file rinominando un file come test.jpg in [email protected]. Alcune altre varianti utilizzano indirizzi email come [email protected], [email protected], [email protected] e [email protected].

Se siete stati infettati dal ransomware CrySis e i vostri file sono stati cifrati e rinominati aggiungendo l’estensione “.XTBL” e un indirizzo di posta elettronica, scaricate la versione 1.17.8.0 o successiva di Rahkni Decryptor di Kasperski [WBM] e avviatelo sul PC infettato.

Il software vi chiederà di selezionare un file cifrato scegliendolo fra file di Word, Excel, PDF, musica o immagini. Non selezionate file di test perché non sono utili per supportare la decifratura dei file criptati dal ransomware CrySis. Il decryptor procederà quindi con la ricerca automatica di tutti gli altri file cifrati e inizierà a decriptarli.