FIG 1 - Ransomware Hacked (HKCrypt) |
Il ransomware crea anche più file contenenti le note per il riscatto in diverse lingue: in inglese (@readme_English.txt o How_to_decrypt_files.txt), spagnolo (@Readme_Spanish.txt), e italiano (@Leggimi_decrypt_Italian.txt). La versione inglese delle note è analoga a quella riportata di seguito:
All of your files were protected by a strong encryption with RSA4096
What happened to my files ?
Decrypting of your files is only possible with the help of private key and decryp
How can i get my files back ?
the only way to restore your files So, there are two ways you can choose
1- wait for a miracle and get your price doubled
2- or restore your data easy way if you have really valuable data
you better not waste your time, because there is no other way to get your files, except make
a payment
What should i do next ? Buy decryption key
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 0.5 BTC to address: 131mixVnmnijg1DPJZrTTakX3qJLpb675o
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at
payment.hkdecryp@protonmail.com
5. Write subject of your mail with : HACKED
6. Write content of your mail with : - Restore my files Bitcoin payment : (YOUR BITCOIN
TRANSACTION ID)
Ad oltre 1 anno e mezzo dalla scoperta del ransomware, l'esperto di sicurezza Michael Gillespie di Emsisoft è riuscito a scovare il punto debole del ransomware Hacked che gli ha permesso di creare un tool per decriptare e recuperare i dati cifrati.
Rimozione del ransomware
Prima di tentare il recupero dei dati è necessario assicurarsi che il ransomware sia stato rimosso dal sistema eseguendo una scansione con un antivirus o antimalware aggiornato. Un buon prodotto gratuito e utile in questi casi è Kaspersky Rescue Disk scaricabile da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da Internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.
Recupero dei dati
Il tool scritto da Michael Gillespie può essere scaricato dal seguente linkDOWNLOAD
Il tool va eseguito con i privilegi di amministratore. Una volta accettate le condizioni di utilizzo, basta selezionare il disco dove risiedono i file cifrati (o specificare una determinata cartella tramite il pulsante Add folder), cliccare sul tasto Decrypt e attendere che il tool completi il suo lavoro. Al termine, nel tab Results, verranno visualizzate le informazioni sul recupero dei dati cifrati.
FIG 2 - Emsisoft Decrypter for HKCrypt |