Come decriptare il ransomware CryptInfinite o DecryptorMax

CryptInfinite o DecryptorMax è il ransomware per sistemi operativi Windows che, come Cryptolocker e i vari successori, cripta i documenti aggiungendo l’estensione “.CRINF” e chiede un riscatto tramite PayPal MyCash (non in bitcoin come per altri ransomware). Il trojan si diffonde tramite documenti Microsoft Word malevoli nei quali è stata inserita una macro offuscata e protetta da password che va a scaricare il payload infetto da un sito remoto.

Le vittime del ransomware CryptInfinate si ritrovano i documenti sul PC criptati e con l’estensione “.CRINF” aggiunta al nome dei file. Ogni cartella nella quale il ransomware ha criptato dei documenti conterrà anche un file chiamato “ReadDecryptFilesHere.txt” con le indicazioni su come pagare il riscatto. La nota lasciata dal delinquente spiega che la vittima ha 24 ore per inviare un codice voucher tramite PayPal MyCash agli indirizzi email dei ricattatori. Al momento, i ransomware contengono i seguenti indirizzi email:

• [email protected]
• [email protected]
• [email protected]

Fortunatamente, Fabian Wosar dellaa Emisoft ha scoperto un baco nella cifratura eseguita dal ransomware che permette alle vittime di decriptare i documenti senza pagare il riscatto. Fabian ha sviluppato un decryptor, chiamato DecrptInfinite,  scaricabile dal sito web Emisoft a questo link oppure dalla WayBackMachine a questo link, che permette di recuperare i file criptati dal ransomwareCryptInfinite o DecryptorMax senza pagare il riscatto.

Per attivare la funzione di brute-force del decryptor è necessario possedere un file criptato di cui si ha a disposizione anche la versione in chiaro, cioè quella non criptata (es. recuperata da un backup, da un allegato email, da una pendrive). Nel caso in cui non si riesca a trovare una versione “pulita” di un file corrotto dal ransomware, si può cercare tra i file criptati un’immagine in formato PNG e passare, come file in chiaro, una qualunque immagine PNG non criptata (il software si basa sugli header e sul formato noto del PNG). Una volta indicati i file su cui eseguire il brute force, si dovrà indicare quale indirizzo email è stato lasciato dai delinquenti sul PC, tra [email protected], [email protected] e [email protected]. A questo punto, si avvierà il processo di decifratura che potrebbe richiedere del tempo ma porterà al ritrovamento della chiave con la quale sono stati criptati i file e permetterà alle vittime di recuperare i documenti.

Ulteriori informazioni su come decriptare i file criptati dal ransomware sono riportate nel topic di supporto presso Bleeping Computer, a questo link.

Aggiornamento di marzo 2016

Sembra che siano uscite varianti del criptovirus CryptInfinite dove vengono utilizzate le seguenti mail per la richiesta di riscatto: “[email protected]” e “[email protected]”, che aggiungono ai file criptati l’estensione “.crypt”, l’estensione “.pzdc” o l’estensione “.good”.

Altra variante, il trojan lascia nella richiesta di riscatto la mail “[email protected]” e appende in coda ai documenti bloccati il nome “.R16M01D05”.

I file con la richiesta di riscatto lasciati da queste varianti del cryptovirus CryptInfinite sono in genere “Help_Decrypt.txt”, come per CryptoWall.

Fabian Wosar ha scoperto come decriptare i documenti e recuperare i file cifrati, si può tentare di decifrare i file con le indicazioni che il ricercatore fornisce ai seguenti link: in Post #34 e Post #5 del sito BleepingComputer.

Kaspersky Lab ha un’utiliti chiamata ScatterDecryptor utility che sembra possa recuperare i file se l’utiliti contiene una chiave segreta modificata del Trojan-Ransom.BAT.Scatter e al momento sembra sia possibile utilizzarla per decriptare i file con estensione “.crypt”, “.pzdc” e “.good”.