Il ransomware si maschera dietro un file .dll che viene creato all'interno di una cartella contenente caratteri alfanumerici in %USERPROFILE%\AppData\Local\Temp\.
ad es.
%USERPROFILE%\AppData\Local\Temp\{D3C31E62-539D-4056-BF01-BF7CB94E0254}\api-ms-win-system-softpub-l1-1-0.dll
Il nome del file .dll e quello della cartella che lo contiene variano.
Terminata la crittografia dei dati, come già visto per altri ransomware, CryptXXX genera 3 file (in formati diversi) contenenti le informazioni su come pagare il riscatto:
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
Il messaggio viene visualizzato a video e viene richiesto un riscatto di circa 500$ (che raddoppia nel caso in cui non venga pagato entro la scadenza visualizzata).
Recuperare i dati .crypt
Per decriptare i dati cifrati da CryptXXX è possibile utilizzare il tool RannohDecryptor messo a disposizione da Kaspersky e scaricabile da QUI .Il tool consente di determinare la chiave per decriptare i dati a patto di disporre della versione cifrata e non cifrata dello stesso file. Questo potrebbe rappresentare un problema ma ci sono alcuni file, come le immagini di esempio di Windows, che sono uguali su tutti i PC. In questo caso basta copiare il file non cifrato da un'altro PC.
Una volta scaricato e avviato il tool, cliccare sul pulsante Start scan e indicare il file cifrato. Il tool tenterà di estrarre la chiave dal file e, non riuscendoci, chiede all'utente di specificare la versione cifrata e non cifrata dello stesso file. Confrontando i 2 file il tool riuscirà ad estrarre la chiave e si potrà procedere a decriptare i restanti file.
FIG 1 - Kaspersky RannohDecryptor |
Aggiornamento 13.05.2016:
Da alcuni giorni circola una nuova versione del ransomware CryptXXX su cui il tool di Kaspersky è inefficace. Al momento non c'è la possibilità di decriptare i dati cifrati dalla nuova variante del ransomware.Aggiornamento 13.05.2016 (2):
Proprio alcune ore fa Kaspersky (come segnalato e testato anche dall'utente Angelo nei commenti) ha rilasciato la nuova versione di RannoDecryptor che permette di decriptare i dati cifrati dalla nuova variante di CryptXXX. Il download può essere effettuato da http://support.kaspersky.com/viruses/utility
Aggiornamento 17.07.2016:
Ora è possibile decriptare i file che hanno estensione .Crypz e .Cryp1. Nuovo articolo QUI