Ransomware File Decryptor decifra parzialmente anche CryptXXX V3

Trend Micro ha pubblicato da alcuni giorni il tool RansomwareFileDecryptor, un decryptor in grado di decifrare file criptati da diversi ransomware, che va ad aggiungersi al TeslaCryptDecryptor già disponibile da tempo. Il tool è in grado di recuperare file criptati da diverse versioni di cryptovirus, incluse (anche se in modo parziale) alcune varianti recenti del trojan CryptXXX oltre al noto TeslaCrypt in qualunque versione e alcuni trojan minori come SNSLocker, AutoLocky, BadBlock, 777, XORIST e XORBAT.

Il tool RansomwareFileDecryptor può essere scaricato da questo link, mentre la versione precedente del tool, TeslaCryptDecryptor, è disponibile a questo link.

Il tool RansomwareFileDecryptor di Trend Micro è in grado di decifrare file criptati dai seguenti ransomware:

CryptXXX V1, V2, V3* [nome file cifrato: {nome originale del file}.crypt, crypz, o 5 caratteri esadecimali]
TeslaCrypt V1** [nome file cifrato: {nome originale del file}.ECC]
TeslaCrypt V2** [nome file cifrato: {nome originale del file}.VVV, CCC, ZZZ, AAA, ABC, XYZ]
TeslaCrypt V3 [nome file cifrato: {nome originale del file}.XXX o TTT o MP3 o MICRO]
TeslaCrypt V4 [il nome del nome file cifrato e l’estensione non cambiano]
SNSLocker [nome file cifrato: {nome originale del file}.RSNSLocked]
AutoLocky[nome file cifrato: {nome originale del file}.locky]
BadBlock [il nome del nome file cifrato e l’estensione non cambiano]
777 [nome file cifrato: {nome originale del file}.777
XORIST [nome file cifrato: {nome originale del file}.xorist o estensione casuale]
XORBAT [nome file cifrato: {nome originale del file}.crypted]

* La decifratura dei file CryptXXX V3 potrebbe essere incompleta e recuperare soltanto una parte del file

** Utilizzare il tool “TeslacryptDecryptor 1.0.xxxx MUI” per i file cifrati da TeslaCrypt V1 e V2 files. Entrambi i tool invece supportano le versioni V3 e V4.

Le istruzioni dettagliate su come utilizzare il tool sono disponibili a questo link [WBM]. In particolare, vale la pena leggere le istruzioni su come decifrare i documenti criptati dal ransomware CryptXXX V3 dato che vi sono diverse limitazioni.

Trend Micro avvisa infatti che il tool RansomwareFileDecryptor tenta di decifrare a ripristinare alcuni formati di Microsoft Office come DOC, DOCX, XLS, XLSX, PPT e PPTX, che risulteranno avere il testo “_fixed” aggiunto al nome del file dopo la decifratura. Aprendo i file con Microsoft Office, si potrebbe ottenere un messaggio che chiede di riparare il file e questo potrebbe permettere di recuperare i file, senza però alcuna garanzia, in quanto in alcuni casi il processo potrebbe fallire. Il ripristino di altri tipi di file invece, quando soltanto parzialmente decifrati, potrebbe richiedere l’utilizzo di strumenti di terze parti, come ad esempio JPEGSnoop per i JPG.

Termini di ricerca frequenti

Ransomware File Decryptor
Trend Micro Ransomware File Decryptor
Ransomwarefiledecryptor
Ransomware V2
V1 Decrypt
Trend Micro Decrypt Tool
Decrypt V1
Trend Micro Ransomware File Decryptor Tool
Trend Micro Decrypt
Decrypt V4

AlessandroCava ha detto:

14 Febbraio 2017 alle 18:33

Spettabile Staff del Ransomware Blog,
oggi, mentre, lo ammetto, stavo cercando una crack su di un tutorial su youtube, sono incappato ahime malauguratamente in un ransomware che ha criptato molti dei miei file (soprattutto .pdf e .docx ma anche pagine di numbers e pages, dato che io opero su SO Macintosh) in una estensione .crypt (nonostante il programma sia rimasto aperto pochi secondi, dopo i quali ho immediatamente capito che si trattava di un virus e ho provveduto ad effettuare l’uscita forzata e ad eliminarlo, ha comunque intaccato la maggior parte dei miei documenti e pagine di testo e calcolo) proprio come sembrerebbe essere riportata la modalità d’operazione di un CryptXXX V3: proverò quindi a scaricare il RansomwareFileDecryptor di Trend Micro, per il quale vi ringrazio sommessamente della segnalazione. Provvederò comunque se non è troppo disturbo per voi ad inviarvi la mail di segnalazione con quante più possibili informazioni a riguardo del mio caso, non avendo alcuna intenzione io di pagare alcun riscatto ne di comprare bitcoin!

Rispondi

Paolo Dal Checco ha detto:

15 Febbraio 2017 alle 9:01

Grazie per le informazioni, è interessante in particolare la questione Mac OS X che cita: non è chiaro se il ransomware ha infettato il Macintosh oppure stava lavorando su Windows e il cryptovirus ha cifrato anche i file di Pages. Ci faccia sapere anche se il decryptor per CryptXXX V3 funziona correttamente o il ransomware si è evoluto cambiando codice di cifratura e scambio/generazione chiavi.

Rispondi

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Termini di ricerca frequenti

Lascia un commento Annulla risposta