File criptati e riscatto su [email protected]

E’ in corso una nuova ondata d’infezioni di ransomware cifranti che, invece di lasciare un messaggio sulle macchine delle vittime con indicazioni sul sistema di pagamento online, aggiunge in coda ai file l’indirizzo email [email protected] al quale viene richiesto di rivolgersi per recuperare i propri documenti criptati.

La richiesta del riscatto avviene, in questo caso, tramite posta elettronica e in modalità manuale, a differenza delle infezioni di altri locker come Cryptolocker, TorrentLocker, CryptoWall o CTB-Locker che forniscono un sistema automatico di interazione con la vittima. La mail a cui scrivere – [email protected] – viene indicata nel file stesso insieme al numero identificativo che permette ai criminali di fornire alle vittime le chiavi di decifratura corrette. Sul PC infettato, il trojan lascia un messaggio nel file “VIRUSFUCKEDYOURFILES” contenente il seguente testo:

Hello
If you wish to get all your files back, you need to pay 3 BTC.
How to get bitcoins?
1. google bitcoin ATMs
2. google localbitcoins dot com
3. google: buy bitcoins
This is the only way to get your files back.
There’s no way to decrypt them without the original key.
The price is non-negotiable.
After paying 3 BTC and emailing the confirmation of payment you will be provided with a decoder.
If you don’t trust me, you can email one of your files, I will decode it and send it back to you.
However, if the file you’re requesting to decode is valuable, I will send you either a quote from it or a screenshot.
I apologise for any inconvenience caused.
Let me know if you want to proceed.
Thank you for cooperation.

I file vengono rinominati aggiungendo il numero identificativo ID e l’indirizzo mail [email protected] in questo modo: il file “Elenco nominativi.docx” diventa, dopo la cifratura, “Elenco [email protected]”, dove 1844247483 è il codice che identifica il computer infettato che il delinquente chieda gli venga comunicato per fornire il programma per ripristinare i documenti.

In alcuni casi, i delinquenti utilizzano indirizzi email diversi per il contatto con le vittime, tra i quali:

• [email protected]
• [email protected]
• [email protected]
• [email protected]

Non è al momento possibile decriptare i file, dato che non sono noti bachi del codice del trojan, si consiglia quindi di tentare il recupero dei file tramite una delle seguenti modalità:

• Carving dei file cancellati, tramite software come PhotoRec, Recuva o R-Studio (ovviamente non sul disco compromesso);
• Recupero delle versioni precedenti dei file tramite lo Strumento di Ripristino cartelle di Windows;
• Ripristino dei file criptati tramite le shadow copies di Windows, con strumenti come Shadow Explorer;
• Copia dei file da un backup, ovviamente non compromesso.

Aggiornamento di novembre 2015: Kaspersky ha prodotto e distribuisce gratuitamente un software in grado di decriptare buona parte dei documenti criptati dal trojan. Il decryptor per ransomware prodotto da Kaspersky – noto come Rakhni Decryptor – è in grado di decriptare i documenti criptati dalle seguenti tipologie di locker (il testo è quello presente nel nome del file):

• [email protected]
• [email protected]
• crypt.india.com
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected],com
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]

Le estensioni dei file che RakhniDecryptor è in grado di tentare di decriptare tramite brute force sono le seguenti:

• .ecc
• .ezz
• .id-*
• .plague17
• .amba
• .bloked
• .hb15
• .enc
• .aes256
• .locked
• .nochance
• .darkness
• .oshit
• .encrypted
• .crypto
• .crypt
• .layerDecryptedKLR