Come decriptare il ransomware [email protected]
Qualche settimana fa abbiamo parlato del ransomware che, come cryptolocker, cripta i documenti su PC e server e richiede un riscatto. A differenza di Cryptolocker, TorrentLocker o Cryptowall, questo ransomware non possiede una pagina dedicata sul dark web ove la vittima può connettersi e gestire il pagamento del riscatto. Questo trojan richiede che la vittima scriva una mail all’indirizzo “[email protected]” o a indirizzi simili e comunichi direttamente con i criminali, che chiedono una cifra tra i 2 e i 5 bitcoin per il riscatto.
Kaspersky ha recentemente pubblicato un aggiornamento del suo strumento per rimozione/disinfezione e decifratura dei file criptati da alcuni tipi di ransomware, RakhniDecryptor, includendo anche la decryption dell’infezione da trojan “[email protected]”, “[email protected]” e tanti altri.
Abbiamo testato personalmente il decryptor di Kaspersky e possiamo confermare che funziona, permettendo in buona parte dei casi di recuperare i file senza pagare il riscatto in bitcoin.
Il tool RakhniDecryptor è descritto in dettaglio nella pagina di Kaspersky [WBM] ed è scaricabile gratuitamente da questo link [WBM]. Una volta avviato dovrete scegliere se fargli cercare i documenti da decriptare nei dischi fissi, in quelli rimovibili e sui drive di rete. A differenza di Cryptolocker e gli altri ransomware di nuova generazione, in questo caso le estensioni dei file criptati sono note e il tool è in grado di cercarle.
Una volta selezionati i percorsi dove il decryptor deve cercare i documenti da decriptare, è necessario indicare al tool un file criptato dal ransomware, che verrà utilizzato per forzare la password di cifratura tramite brute force. Se non riuscite a selezionare il file, perché l’estensione non viene riconosciuta, copiate il nome e il percorso del file e incollatela nel campo “File name:”.
Una volta selezionato il file da decriptare tramite brute force, il decryptor ci ricorderà che l’attività di decryption tramite tentativi di forza bruta può necessitare di tempo, anche diversi giorni di lavoro. Da tenere presente che, se la chiave di cifratura è complessa, la decryption del ransomware tramite bruteforce potrebbe non concludersi mai.
Una volta partito, il tool di decryption esegue tentativi di brute force della password dei file criptati, informando l’utente del numero di tentativi fatti.
Una barra di avanzamento nel decryptor e un file di log informano l’utente del numero di tentativi che mancano alla fine del processo di brute force. Non è chiaro se il numero di tentativi è esaustivo o è un limite massimo oltre il quale lo strumento concluderà in ogni caso l’attività di decryption, anche se è presumibile la seconda possibilità, dato che è noto che in alcuni casi RakhniDecryptor di Kaspersky non è stato in grado di recuperare la password.
Dopo circa una giornata di tentativi di decryption, su un PC di media potenza, comparirà il messaggio “Password has been recovered successfully” e si avvierà il processo di decryption dei file criptati dal ransomware.
Pochi minuti dopo aver trovato la password, tutti i file criptati saranno nuovamente leggibili e sbloccati. In un caso, durante le nostre prove, il decryptor ha dichiarato di aver trovato la password di cifratura ma i file decriptati risultavano illeggibili. Negli altri casi invece lo strumento ha funzionato correttamente e i documenti sono stati sbloccati.
Il software Rakhni Decryptor è in grado di decriptare i documenti criptati dalle seguenti tipologie di locker (il testo è quello presente nel nome del file):
- [email protected]
- [email protected]
- crypt.india.com
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected],com
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
Le estensioni dei file che RakhniDecryptor è in grado di tentare di decriptare tramite brute force sono le seguenti:
- .ecc
- .ezz
- .id-*
- .plague17
- .amba
- .bloked
- .hb15
- .enc
- .aes256
- .locked
- .nochance
- .darkness
- .oshit
- .encrypted
- .crypto
- .crypt
- .layerDecryptedKLR
Termini di ricerca frequenti
- Decriptare Ransomware
- Decriptare File Ransomware
- Rakhnidecryptor
- Decriptare
- Decrypt Ransomware
- Cryptolocker Decrypt
- Ransomware Decryptor
- Cryptolocker Kaspersky
- Kaspersky Decrypt
- Decriptare Virus Help
- Kaspersky Ransomware
- Cryptolocker Decryption Tool
- Kaspersky Ransomware Decryptor
- Kaspersky Criptati Funziona
- Kaspersky Decryptor
- Kaspersky Decrypt Cryptolocker
- Decriptare File Ransom
- Torrentlocker Decrypt Tool
- Decryptor Ransomware
- Torrentlocker Decryption Tool
- Decrypt Tool Cryptolocker
- Come Funziona Ransomware Decryptor
- Decriptare Ransomware Con Kaspersky
- Decriptare File Enc
- Kaspersky Ransomware Cryptolocker
- Tool Decrypt Ransomware
- Cryptowall Brute Force Decriptare
- Password Cryptolocker
- Decrypt File Brute Force
- Come Funziona Rakhnidecryptor
- Forza Bruta Cryptowall
- Torrentlocker Decrypt
- Ransomware Decrypt Tool 2015
- Bruteforce
- 2 Bruteforce
- Kaspersky Tool Decrypt
- Decrypt File
- Rakhni Crypt
Lascia un commento