Visualizzazione post con etichetta CryptoShield. Mostra tutti i post
Visualizzazione post con etichetta CryptoShield. Mostra tutti i post

sabato 25 febbraio 2017

Ransomware CryptoMix: Recuperare i dati cifrati in modalità offline

Avast, la nota software house di sicurezza informatica, ha di recente rilasciato un tool per recuperare i dati cifrati dal ransomware CryptoMix (conosciuto anche come CryptFile2, Zeta, CryptoShield) in modalità offline. Il tool è efficace solo se il ransomware ha cifrato i dati in modalità offline e si dispone della versione non cifrata di almeno un file: CryptoMix effettua la cifratura in modalità offline quando non è presente una connessione ad Internet oppure quando non riesce a contattare i server Command & Control e, in queste situazioni, viene utilizzata una chiave di cifratura che può essere calcolata dal tool fornito da Avast. Se non si dispone di una versione non cifrata di un file si può provare ad usare un file presente nelle cartelle:
C:\Windows\Web
C:\Windows\Media
C:\Users\Public\Pictures\Sample Pictures
La versione non cifrata di tali file possiamo recuperarla da un altro PC su cui è installata la stessa versione di Windows.
Al momento il tool permette di decriptare i file cifrati con le seguenti estensioni .CRYPTOSHIELD, .rdmk, .rscl, .scl, .lesli,  .code.rmd.

Recupero dei file
  • CryptoMix oltre a cifrare il contenuto del file e ad aggiungere la propria estensione, ne modifica anche il nome. Il primo passo, quindi, consiste nello scoprire il reale nome del file cifrato. Accedere al sito http://rumkin.com/tools/cipher/rot13.php e, nell'apposita casella, inserire il nome, esclusa l'estensione (.CRYPTOSHIELD, .rdmk ecc), di un file cifrato (ad es vzzntvar.wct). Nella casella sottostante verrà visualizzato il nome reale. Verificare se si dispone della versione non cifrata del file.

    http://rumkin.com
    FIG 1 - http://rumkin.com
  • Eseguire il download del tool Avast Decryption Tool for CryptoMix da http://files.avast.com/files/decryptor/avast_decryptor_cryptomix.exe;
  • Avviare il tool e cliccare sul pulsante Avanti;
    Avax Decryption Tool for CryptoMix, schermata benvenuto
    FIG 2 - Avax Decryption Tool for CryptoMix, schermata benvenuto
  • Selezionare il disco o specificare una cartella contenente i dati da decriptare quindi cliccare su Avanti;
    Avax Decryption Tool for CryptoMix, selezione cartelle da decriptare
    FIG 3 - Avax Decryption Tool for CryptoMix, selezione cartelle da decriptare
  • Indicare, nelle apposite caselle, la versione cifrata e quella non cifrata dello stesso file quindi cliccare su Avanti;
    Avax Decryption Tool for CryptoMix, selezione file cifrato e non cifrato
    FIG 4 - Avax Decryption Tool for CryptoMix, selezione file cifrato e non cifrato
  • Cliccare sul pulsante Start per avviare la ricerca della chiave;
  • Se la chiave viene trovata, cliccare sul pulsante Avanti per proseguire;
  • Nella schermata successiva è consigliabile selezionare le opzioni Backup encrypted files e Run the decryption process as addministrator quindi cliccare sul pulsante Decrypt per avviare la decriptazione dei propri file;
  • Al termine è possibile visualizzare il log dell'operazione cliccando sull'apposito pulsante Show Log.
Nel caso in cui il tool di Avast non riesca a decriptare i file, allora questi non sono stati cifrati in modalità offline e al momento non è possibile recuperarli.