Ransomware Hacked (HKCrypt): Recupero dei dati

Scoperto nel 2017, il ransomware HKCrypt (conosciuto anche con il nome di Hacked) prende di mira gli utenti inglesi, turchi, spagnoli e italiani. I vettori di infezione sono i soliti già visti per gli altri ransomware: email, link a siti compromessi, file infetti, ecc. Una volta installato, il ransomware visualizza una finestra di Windows Update fasulla mentre provvede a cifrare i file della vittima utilizzando l'algoritmo RC4 e aggiungendo a questi l'estensione .hacked. Al termine della procedura visualizza un messaggio come quello mostrato in figura per informare la vittima che i file sono stati cifrati e su come pagare il riscatto.

FIG 1 - Ransomware Hacked (HKCrypt)

Il ransomware crea anche più file contenenti le note per il riscatto in diverse lingue: in inglese (@readme_English.txt o How_to_decrypt_files.txt), spagnolo (@Readme_Spanish.txt), e italiano (@Leggimi_decrypt_Italian.txt). La versione inglese delle note è analoga a quella riportata di seguito:

All of your files were protected by a strong encryption with RSA4096

What happened to my files ?
Decrypting of your files is only possible with the help of private key and decryp

How can i get my files back ? 
the only way to restore your files So, there are two ways you can choose
1- wait for a miracle and get your price doubled
2- or restore your data easy way if you have really valuable data
you better not waste your time, because there is no other way to get your files, except make 
a payment

What should i do next ? Buy decryption key
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of  0.5 BTC to address: 131mixVnmnijg1DPJZrTTakX3qJLpb675o
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at 
payment.hkdecryp@protonmail.com
5. Write subject of your mail with :  HACKED
6. Write content of your mail with : - Restore my files Bitcoin payment : (YOUR BITCOIN 
TRANSACTION ID)


Ad oltre 1 anno e mezzo dalla scoperta del ransomware, l'esperto di sicurezza Michael Gillespie di Emsisoft è riuscito a scovare il punto debole del ransomware Hacked che gli ha permesso di creare un tool per decriptare e recuperare i dati cifrati.

Rimozione del ransomware

Prima di tentare il recupero dei dati è necessario assicurarsi che il ransomware sia stato rimosso dal sistema eseguendo una scansione con un antivirus o antimalware aggiornato. Un buon prodotto gratuito e utile in questi casi è  Kaspersky Rescue Disk scaricabile da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da Internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.
Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.

Recupero dei dati

Il tool scritto da Michael Gillespie può essere scaricato dal seguente link
DOWNLOAD

Il tool va eseguito con i privilegi di amministratore. Una volta accettate le condizioni di utilizzo, basta selezionare il disco dove risiedono i file cifrati (o specificare una determinata cartella tramite il pulsante Add folder), cliccare sul tasto Decrypt e attendere che il tool completi il suo lavoro. Al termine, nel tab Results, verranno visualizzate le informazioni sul recupero dei dati cifrati.

FIG 2 - Emsisoft Decrypter for HKCrypt