Ransomware JeepersCrypt: Recupero dati

Gli esperti di BleepingComputer  hanno scovato un nuovo ransomware proveniente dal Brasile chiamato JeepersCrypt (nome che si rifà al film horror Jeepers Creepers). Il ransomware aggiunge l'estensione .jeepers ai file cifrati e visualizza la richiesta di riscatto mostrata in figura in cui l'utente viene avvisato che dispone di 24 ore di tempo per pagare il riscatto.

FIG 1 - Ransomware JeepersCrypt

Come recuperare i dati

Prima di procedere a decriptare i dati, consiglio di effettuare una scansione approfondita con un antivirus e un antimalware (come Malwarebytes) aggiornati.
Il recupero dei dati è possibile grazie al tool StupidDecrypter sviluppato da Michael Gillespie (Demonslay335) e scaricabile da https://download.bleepingcomputer.com/demonslay335/StupidDecrypter.zip

Il tool permette di decriptare file cifrati con le seguenti estensioni: .android, .anon, .crypted, .deria, .devil, .FailedAccess, .fucked, .Harzhuangzi, .haters, .jeepers, .killedXXX, .lock, .MIKOYAN, .Nazi, .powned, .SnakeEye, .xncrypt, _crypt0, _nullbyte.


Scompattare il file .zip ed avviare l'unico file eseguibile StupidDecrypter.exe. 

FIG 2 - StupidDrecypter, recuperare i dati cifrati da JeepersCrypt

Cliccare sul pulsante Select Directory e selezionare la cartella o il disco contenente i dati cifrati quindi cliccare su Decrypt per avviare il processo di recupero dati. I dettagli dell'operazione verranno indicati nel riquadro alla sinistra dei pulsanti inoltre, all'interno della cartella in cui risiede l'eseguibile del tool, verrà generato un file di log.

Il tool consente anche di eliminare i file cifrati selezionando l'apposita opzione dal menu Settings.

FIG 3 - StupidDecrypter, Delete Encrypted Files

Ransomware DoNotChange: Recuperare i dati

Il ransomware DoNotChange è stato individuato per la prima volta il 29 marzo 2017. Anche questo ransomware viene distribuito prevalentemente attraverso email di spam che sembrano provenire da mittenti attendibili come Amazon, PayPal, Facebook, Twitter e Microsoft. Se la vittima apre il file allegato ed esegue la macro, il ransomware si installa sulla macchina e provvede a cifrare i file sui dischi locali, sulle share di rete e sui dischi removibili utilizzando versioni custom di AES e RSA. 

I file interessati dal ransomware hanno le seguenti estensioni:
.3GP, .7Z, .APK, .AVI, .BMP, .CDR, .CER, .CHM, .CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .KEY, .MDB .MD2, .MDF, .MHT, .MOBI .MHTM, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RAR, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .CKP, .ZIP, .JAVA, .PY, .ASM, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DB3, .SQL, .SQLITE3, .SQLITE, .SQLITEDB, .PSD, .PSP, .PDB, .DXF, .DWG, .DRW, .CASB, .CCP, .CAL, .CMX, .CR2.

A seconda della variante del ransomware ai file viene aggiunta l'estensione ".id-[id_vittima].cry" oppure ".Do_not_change_the_file_name.cryp". 

DoNotChange, per cifrare i dati, genera una chiave a 256-bit che non viene salvata in locale ma viene inviata ai server di Command and Control. Terminata la crittografia dei file viene visualizzato il messaggio di riscatto.

FIG 1 - Messaggio del riscatto del ransomware DoNotChange

Michael Gillespie ha creato il tool DoNotChangeDecrypter per decriptare i dati cifrati dal ransomware DoNotChange. Al momento il tool funziona prevalentemente con i file con estensione ".id-[id_vittima].cry".

L'utilizzo del tool è molto semplice. Una volta scaricato da QUI, scompattarlo ed eseguirlo. Cliccare su Select Directory per selezionare la cartella o il disco contenente i file criptati quindi cliccare su Decrypt per avviare il processo.

FIG 2 - DoNotChangeDecrypter

Ransomware Dharma: Recuperare i dati

Il ransomware Dharma provvede a cifrare i dati dell'utente e aggiunge ai file cifrati una nuova estensione usando il formato .[indirizzo_email].Dharma. L'indirizzo email aggiunto al nome del file varia a seconda della versione del ransomware. Di seguito alcuni esempi:

.[3angle@india.com].dharma

.[amagnus@india.com].dharma

.[base_optimal@india.com].dharma

.[bitcoin143@india.com].dharma

.[blackeyes@india.com].dharma

.[doctor.crystal@mail.com].dharma

.[dr_crystal@india.com].dharma

.[emmacherry@india.com].dharma

.[google_plex@163.com].dharma

.[mr_lock@mail.com].dharma

.[opened@india.com].dharma

.[oron@india.com].dharma

.[payforhelp@india.com].dharma

.[savedata@india.com].dharma

.[singular@india.com].dharma

.[suppforhelp@india.com].dharma

.[SupportForYou@india.com].dharma

.[tombit@india.com].dharma

.[worm01@india.com].dharma

Dopo che su alcuni forum sono apparse alcune master key relative al ransomware, Kaspersky ed Eset hanno rilasciato i loro tool per la decriptazione dei file. In questo articolo mostrerò come recuperare i propri file utilizzando il tool di Kaspersky che ritengo più semplice da usare anche per i meno esperti.

Recupero dei dati

• Eseguire il download del tool di Kaspersky RakhniDecryptor;
• Scompattare il file .zip appena scaricato ed avviare il tool cliccando 2 volte sull'eseguibile RakhniDecryptor.exe;
  

  

  FIG 1 - Kaspersky RakhniDecryptor

• Cliccando su Change parameters è possibile indicare i dischi su cui il tool dovrà intervenire e se cancellare o meno i file cifrati una volta decriptati. Per confermare le impostazioni e ritornare alla schermata principale, cliccare su OK.
  
  

  

  FIG 2 - Kaspersky RakhniDecryptor, Settings

• Cliccare su Start Scan;
• Nella finestra successiva verrà richiesto di indicare un file criptato. Selezionare un file e cliccare su Apri per avviare il processo di recupero dei dati che può richiedere molto tempo a seconda del numero di file da analizzare e decriptare.
  
  

  

  FIG 3 - Kaspersky RakhniDecryptor, encrypted file

Ransomware MRCR (Merry X-Mas): Recuperare i dati

Il ransomware MRCR, noto anche come Merry X-Mas, è apparso per la prima volta a dicembre 2016. Il ransomware, realizzato in Delphi, utilizza un algoritmo di cifratura proprietario e aggiunge ai file cifrati una delle seguenti estensioni:  .MRCR1, .MERRY, , .PEGS1, .RARE1, .RMCM1.

Tramite il tool messo a disposizione da Emsisoft è possibile decriptare i propri file a patto di possedere almeno la versione non cifrata di un file (affinché l'operazione vada a buon fine è necessario, inoltre, utilizzare file che hanno una dimensione compresa tra 64KB e 100MB).
Se il ransomware ha cifrato i file presenti nelle seguenti cartelle
C:\Windows\Web
C:\Windows\Media
C:\Users\Public\Pictures\Sample Pictures
è possibile recuperare la versione non cifrata di tali file da altri PC con installata la medesima versione di Windows.

Recuperare i dati

Vediamo in dettaglio come procedere per recuperare i propri dati

• Eseguire il download di Emsisoft Decrypter for MRCR da https://decrypter.emsisoft.com/download/mrcr
• Per avviare il processo di recupero dei dati basta trascinare entrambe le versioni del file, quella cifrata e quella non cifrata,  sul file eseguibile precedentemente scaricato;
  

  

  FIG 1 - Emsisoft Decrypter for MRCR, trascinare i file sull'eseguibile del tool

• Cliccare su Si all'eventuale finestra del Controllo dell'account utente (UAC);
• Se la chiave per la decriptazione dei file viene trovata, verrà visualizzato il messaggio mostrato in FIG 2. Cliccare su OK per proseguire.
  

  

  FIG 2 - Emsisoft Decrypter for MRCR, chiave per la decriptazione

• Cliccare su YES nella finestra di dialogo relativa alle condizioni di utilizzo;
  

  

  FIG 3 - Emsisoft Decrypter for MRCR, termini di licenza

• A questo punto è possibile selezionare i dischi o le cartelle su cui risiedono i file cifrati quindi cliccare sul pulsante Decrypt per procedere nell'operazione di recupero;
  

  

  FIG 4 - Emsisoft Decrypter for MRCR, Decrypt

• Al termine è possibile visualizzare e salvare l'esito dell'operazione cliccando sulla scheda Results.

Opzioni
Cliccando sulla scheda Options è possibile accedere alla sezione relativa alle varie opzioni implementate nel tool:

Keep encrypted files
Selezionando tale opzione i file cifrati non vengono eliminati. Ciò può essere utile nel caso in cui il tool non funzioni correttamente con i propri file per cui i file decriptati non risultano utilizzabili. In questo modo si ha la possibilità di ritentare con un'altra chiave.

Detect failed encryptions
Il ransomware non sempre riesce a cifrare tutti i file. In alcuni casi provvede semplicemente a rinominare il file senza cifrarne il contenuto. Abilitando tale opzione, il tool provvede a ripristinare il nome originario del file senza tentare di decifrarne il contenuto.

Key selection
In alcune condizioni è possibile che Emsisoft Decrypter for MRCR trovi più chiavi utilizzabili per decriptare i file. In questi casi tale opzione permette di selezionare una chiave specifica tra quelle trovate.

Ransomware CryptoMix: Recuperare i dati cifrati in modalità offline

Avast, la nota software house di sicurezza informatica, ha di recente rilasciato un tool per recuperare i dati cifrati dal ransomware CryptoMix (conosciuto anche come CryptFile2, Zeta, CryptoShield) in modalità offline. Il tool è efficace solo se il ransomware ha cifrato i dati in modalità offline e si dispone della versione non cifrata di almeno un file: CryptoMix effettua la cifratura in modalità offline quando non è presente una connessione ad Internet oppure quando non riesce a contattare i server Command & Control e, in queste situazioni, viene utilizzata una chiave di cifratura che può essere calcolata dal tool fornito da Avast. Se non si dispone di una versione non cifrata di un file si può provare ad usare un file presente nelle cartelle:
C:\Windows\Web
C:\Windows\Media
C:\Users\Public\Pictures\Sample Pictures
La versione non cifrata di tali file possiamo recuperarla da un altro PC su cui è installata la stessa versione di Windows.
Al momento il tool permette di decriptare i file cifrati con le seguenti estensioni .CRYPTOSHIELD, .rdmk, .rscl, .scl, .lesli,  .code, .rmd.

Recupero dei file

• CryptoMix oltre a cifrare il contenuto del file e ad aggiungere la propria estensione, ne modifica anche il nome. Il primo passo, quindi, consiste nello scoprire il reale nome del file cifrato. Accedere al sito http://rumkin.com/tools/cipher/rot13.php e, nell'apposita casella, inserire il nome, esclusa l'estensione (.CRYPTOSHIELD, .rdmk ecc), di un file cifrato (ad es vzzntvar.wct). Nella casella sottostante verrà visualizzato il nome reale. Verificare se si dispone della versione non cifrata del file.
  
  

  

  FIG 1 - http://rumkin.com

• Eseguire il download del tool Avast Decryption Tool for CryptoMix da http://files.avast.com/files/decryptor/avast_decryptor_cryptomix.exe;
• Avviare il tool e cliccare sul pulsante Avanti;
  

  

  FIG 2 - Avax Decryption Tool for CryptoMix, schermata benvenuto

• Selezionare il disco o specificare una cartella contenente i dati da decriptare quindi cliccare su Avanti;
  

  

  FIG 3 - Avax Decryption Tool for CryptoMix, selezione cartelle da decriptare

• Indicare, nelle apposite caselle, la versione cifrata e quella non cifrata dello stesso file quindi cliccare su Avanti;
  

  

  FIG 4 - Avax Decryption Tool for CryptoMix, selezione file cifrato e non cifrato

• Cliccare sul pulsante Start per avviare la ricerca della chiave;
• Se la chiave viene trovata, cliccare sul pulsante Avanti per proseguire;
• Nella schermata successiva è consigliabile selezionare le opzioni Backup encrypted files e Run the decryption process as addministrator quindi cliccare sul pulsante Decrypt per avviare la decriptazione dei propri file;
• Al termine è possibile visualizzare il log dell'operazione cliccando sull'apposito pulsante Show Log.

Nel caso in cui il tool di Avast non riesca a decriptare i file, allora questi non sono stati cifrati in modalità offline e al momento non è possibile recuperarli.

Ransomware Zyka, come recuperare i propri dati

Nell'ultimo anno il numero dei ransomware che circolano in rete è aumentato in maniera esponenziale. Ogni giorno vengono scoperti nuovi ransomware o nuove varianti di quelli già esistenti che tentano di rendere la vita degli utenti un inferno. Il ricercatore indipendente noto come CyberSecurity ha di recente scoperto un nuovo ransomware chiamato Zyka. 

Il ransomware in questione infetta il PC attraverso un trojan: la vittima riceve un'email di spam contenente un allegato che, una volta aperto, provvede a scaricare e ad installare il ransomware vero e proprio. Una volta avviato Zyka provvede a crittografare i dati dell'utente aggiungendo l'estensione .lock. Terminata la cifratura dei file della vittima, viene visualizzato il messaggio del riscatto contenente informazioni sul tipo di algoritmo utilizzato (AES), l'ammontare del riscatto (170$) e come pagarlo (tramite bitcoin al wallet indicato). Il messaggio invita anche a pagare il riscatto entro 72h altrimenti la chiave privata conservata sui server verrà cancellata e non sarà più possibile riavere i propri dati.

FIG 1 - Ransomware Zyka, messaggio del riscatto

Come recuperare i dati

Prima di procedere a decriptare i dati, consiglio di effettuare una scansione approfondita con un antivirus e un antimalware (come Malwarebytes) aggiornati.
Il recupero dei dati è possibile grazie al tool StupidDecrypter sviluppato da Michael Gillespie (Demonslay335) e scaricabile da https://download.bleepingcomputer.com/demonslay335/StupidDecrypter.zip

Il tool permette di decriptare file cifrati con le seguenti estensioni: .deria, .fucked, .killedXXX, .lock, .Nazi, _crypt0, _nullbyte


Scompattare il file .zip ed avviare l'unico file eseguibile StupidDecrypter.exe. 

FIG 2 - StupidDrecypter, recuperare i dati cifrati da Zyka

Cliccare sul pulsante Select Directory e selezionare la cartella o il disco contenente i dati cifrati quindi cliccare su Decrypt per avviare il processo di recupero dati. I dettagli dell'operazione verranno indicati nel riquadro alla sinistra dei pulsanti inoltre, all'interno della cartella in cui risiede l'eseguibile del tool, verrà generato un file di log.

Il tool consente anche di eliminare i file cifrati selezionando l'apposita opzione dal menu Settings.

FIG 3 - StupidDecrypter, Delete Encrypted Files

Ransomware Vindows

Il ransomware Vindows è stato individuato per la prima volta dal ricercatore di sicurezza Jakub Kroustek di AVG. Il ransomware, realizzato in C#, agisce sui file aventi le seguenti estensioni:

txt, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, asp, aspx, html, xml, psd

Il ransomware, individuando tali file sul sistema, provvede a crittografarli utilizzando l'algoritmo AES e aggiungendo l'estensione .Vindows. Terminata questa operazione apparirà a video la seguente schermata (FIG 1) in cui in cui si invita l'utente a chiamare un servizio di supporto per sbloccare i file dopo il pagamento del riscatto di $349.

FIG 1 - Vindows si spaccia per un supporto tecnico e chiede soldi per il recupero dei file

Chiamando il numero indicato nel messaggio, risponde un'operatore di un call center (presumibilmente dislocato in India) che si spaccia per il servizio di assistenza Microsoft. L'operatore accede da remoto al computer della vittima, apre una pagina del supporto Microsoft per poi sostituirla con un indirizzo diverso ospitato da JotForm. In questo modo la vittima, credendo di trovarsi ancora sul sito Microsoft, compilerà il modulo mostrato a video con i propri dati personali.

FIG 2 - Vindows, viene richiesto di compilare un form con i propri dati e la carta di credito

All'interno del codice del ransomware sono presenti 2 API Pastebin (api_dev_key e api_user_key) utilizzate per salvare su una pagina Pastebin il nome del computer infetto e la chiave AES con cui sono stati crittografati i file.

Come Decriptare i file

Malwarebytes e un esperto di sicurezza indipendente @TheWack0lian, hanno rilasciato tool per decriptare le varianti di questo nuovo ransomware. Per recuperare i file criptati dal ransomware Vindows è possibile utilizzare uno dei seguenti tool:

• VindowsDecryptionTool di Malwarebytes 
• VindowsUnlocker di @TheWackOlian 

Il tool più semplice da utilizzare è VindowsUnlocker: una volta avviato basta cliccare sul pulsante Decrypt e attendere che termini il recupero dei file.

FIG 3 - VindowsUnlocker (Vindows Locker Decrypter)

Ransomware Bart : Come recuperare i dati

Il ransomware Bart è stato scoperto da ProofPoint e dietro la sua distribuzione c'è lo stesso gruppo che distribuisce i ransomware Locky e Dridex. Il ransomware prende in ostaggio i dati della vittima comprimendoli in file .zip protetti da password. A differenza degli altri ransomware, Bart non usa una chiave pubblica per cifrare i dati ma gli sviluppatori sfruttano il fatto che il formato ZIP supporta in modo nativo la cifratura AES. Proprio per questo modo di operare non ha bisogno di comunicare con i server di comando e controllo e può agire anche se non connesso ad Internet. Terminata la sua opera, Bart visualizza un messaggio all'utente in cui viene richiesto un riscatto di 3 bitcoin per rilasciare la password dei file .zip contenti i dati.

Come viene distribuito il ransomware

Bart viene distribuito, come la maggior parte dei ransomware, tramite un email con in allegato un file .zip. Il file zip contiente un file JS (Javascript) che ha un nome simile a PDF_[10 cifre random].js, FILE-[10 cifre random].js o DOC-[10 cifre random].js. Il codice JavaScript presente all'interno del file è offuscato al fine di rendere difficile, a chi lo analizza, scoprire le operazioni che esegue. Se la vittima apre l'allegato .zip, Windows Script Host (wscript.exe) lancia il JavaScript che avvia il download del malware eseguibile RocketLoader all'interno della cartella %temp% e poi lo esegue. Il malware provvede poi al download e all'esecuzione del ransomware Bart.

La prima operazione che effettua il ransomware è quella di verificare la lingua del sistema operativo. Se la lingua rilevata è russo, bielorusso o lingua ucraina il ransomware termina senza effettuare alcuna operazione, in caso contrario verifica le lettere dei dischi/partizioni e inizia a zippare con password, aggiungendo l'estensione .Bart.zip, i file che hanno le seguente etensioni:

.n64, .m3u, .m4u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .sh, .class, .jar, .java, .rb, .asp, .cs, .brd, .sch, .dch, .dip, .vbs, .vb, .js, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .db, .mdb, .sq, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11(Security copy), .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mm, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123, .wks, .wk1, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm, .docx, .DOT, .3dm, .max, .3ds, .xm, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .p12, .csr, .crt, .key

Non tutti i file vengono zippati, il ransomware risparmia i file che, all'interno del percorso, contengono le seguenti stringhe:
tmp, winnt, Application Data, AppData, PerfLogs, Program Files (x86), Program Files, ProgramData, temp, Recovery, $Recycle.Bin, System Volume Information, Boot, Windows.

Al termine dell'operazione, Bart crea sul desktop dell'utente i file recover.txt e recover.bmp: mentre il file con estensione .bmp viene impostato come wallpaper di Windows il file .txt viene aperto automaticamente da blocco note. All'interno del messaggio troviamo l'ID univoco assegnato al computer della vittima e il sito TOR a cui bisogna collegarsi per ulteriori informazioni su come procurarsi i bitcoin, l'ammontare del riscatto e l'indirizzo a cui pagare.

Recupero dei dati

AVG, azienda nota nel campo della sicurezza informatica, ha rilasciato un tool (AVG Decryption Tool for Bart) per recuperare i dati presi in ostaggio dal ransomware Bart. Al fine di recuperare la password dei file zip, il tool richiede che l'utente disponga della versione cifrata e non di uno stesso file (la password è uguale per tutti i file). Una volta trovata la password è possibile recuperare i restanti file presi in ostaggio dal ransomware.

Passo 1
Procurarsi ed eseguire AVG Decryption Tool for Bart. Il tool può essere scaricato da QUI

Passo 2
Avviato il tool ci si trova dinanzi alla schermata di benvenuto mostrata in FIG 1. Cliccare sul pulsante Avanti per proseguire.

FIG 1 - AVG Decryption Tool for Bart, (1/5) Welcome

Passo 3
Nella schermata successiva viene chiesto di specificare il disco/partizione o una cartella (cliccando su Add Folder) dove risiedono i nostri dati cifrati dal ransomware. Una volta specificato il disco/partizione, cliccare su Avanti.

FIG 2 - AVG Decryption Tool for Bart, (2/5) Select a location to decrypt

Passo 4
In questo passo dobbiamo passare la programma la versione cifrata (nella prima casella) e quella originale (nella seconda casella) di uno stesso file quindi verrà abilitato il pulsante Avanti su cui dobbiamo cliccare con il mouse per proseguire.

FIG 3 - AVG Decryption Tool for Bart, (3/5) Add an example file

Passo 5
Per avviare il processo di recupero password del file zip bisogna cliccare su Start (FIG 4).

FIG 4 - AVG Decryption Tool for Bart, (4/5) Crack the password

Passo 6
Trovata la password basterà cliccare ancora su Avanti per procedere al recupero di tutti i dati. Non resta che attendere il termine dell'operazione.

FIG 5 - AVG Decryption Tool for Bart, (4/5) Crack the password, password trovata

Ransomware CryptXXX: Decriptare i file con estensione .Crypz e .Cryp1 (UltraDeCrypter)

Da qualche giorno chi ha i file cifrati dal ransomware CryptXXX con estensione .Crypz e Cryp1 può ricevere gratuitamente la chiave per recuperare i propri dati. Per farlo è necessario eseguire i seguenti passaggi:

• Procurarsi un browser Tor. É possibile scaricare una versione portable da QUI oppure è possibile installare la versione ufficiale scaricandola da QUI.
• All'interno del messaggio del riscatto sono presenti un indirizzo e il proprio ID. Con il browser Tor, collegarsi all'indirizzo indicato nel messaggio e inserire, nell'apposita casella, il proprio ID quindi cliccare su Sign In.
  
  

  

  FIG 1 - TOR Browser, pagina del riscatto

• Verrà visualizzata la propria chiave di decodifica (certificato), selezionarla, comprese le righe contenenti BEGIN CERTIFICATE e END CERTIFICATE, e copiarla.
  
  

  

  FIG 2 - CryptXXX, chiave

• Ora cliccare su Instructions (o Il manuale nel caso sia stata selezionata la lingua italiana) per visualizzare la pagina contenente le istruzioni e il link per scaricare UltraDeCrypter necessario per decifrare i dati.
  
  

  

  FIG 3 - CryptXXX, istruzioni sull'utilizzo di UltraDeCrypter

• Eseguire il download di UltraDeCrypter cliccando sul relativo link.
• Avviare UltraDeCrypter e nella casella Key Code incollare la propria chiave.
• Dal menu Action di UltraDeCrypter  selezionare Scan quindi cliccare su Crypt files. Tale scansione provvederà ad individuare i file cifrati sulla postazione.
  

  

  FIG 4 - UltraDeCrypter, scansione dei file cifrati

• Terminata la scansione, dal menu Action selezionare Decrypt quindi cliccare sul All files. Il processo di recupero dei dati verrà avviato e non resta che attendere il completamento dell'operazione.
  

  

  FIG 5 - UltraDeCrypter, decriptare tutti i file cifrati

Il motivo per cui la chiave di queste 2 varianti del ransomware venga fornita gratuitamente non è ancora noto. C'è chi pensa che si tratti di un problema sui server chi, invece, pensa che si tratti di un contentino fornito ad alcune vittime per mostrare a tutti che il recupero dei dati è possibile e incentivare, in questo modo, il pagamento del riscatto da parte di chi è stato infettato da altre varianti.

Ransomware ApocalypseVM: Recupero dei file

Circola una nuova variante del ransomware Apocalypse: ApocalypseVM. Al fine di rendere difficile il reverse engineering del malware da parte degli esperti di sicurezza, gli sviluppatori hanno provveduto a proteggerlo tramite l'utilizzo di VMProtect (un utility di compressione che provvede ad offuscare il codice contenuto nel file). Questa nuova variante del ransomware aggiunge ai file cifrati l'estensione .encrypted e .locked e, per ogni file cifrato, provvede alla creazione di un file di testo del tipo [filename].How_To_Get_Back.txt contenente le informazioni per il pagamento del riscatto. Anche per questa variante del ransomware Fabian Wosar di Emsisoft ha creato un tool per il recupero dei file cifrati. Il tool Emsisoft Decrypter for ApocalypseVM può essere scaricato dal seguente link:
DOWNLOAD

Per recuperare i propri dati basta trascinare la versione cifrata e quella non cifrata di un file (di almeno 4096 byte) sul file eseguibile del tool al fine di generare la chiave privata.
Una finestra di dialogo mostrerà la chiave privata recuperata e, cliccando su OK, verrà visualizzata una nuova schermata che consentirà di decriptare i dati tramite il pulsante Decrypt. Al termine dell'operazione, nella scheda Results, verranno visualizzati i risultati.

FIG 1 - Emsisoft Decrypter for ApocalypseVM

Ransomware Apocalypse: Recupero dei file

Apocalypse è uno dei tanti ransomware in circolazione. Diffuso prevalentemente tramite email, una volta installato crea un file eseguibile nominato windowsupdate.exe in C:\Program File (x86) inoltre crea un valore Windows Update Svc all'interno della chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ che permette al ransomware di avviarsi ogni volta che l'utente effettua il logon al sistema. Quando Apocalypse viene eseguito, provvede a cifrare tutti i file tranne i file presenti in C:\Windows e quelli aventi le seguenti estensioni:  .bat, .bin, .com, .dat, .dll, .encrypted, .exe, .ini, .lnk, .msi, .sys, .tmp

Ai file cifrati viene aggiunta l'estensione .encrypted e viene creato un nuovo file dal nome <nome_file_cifrato>.How_To_Decrypt.txt contenente le istruzioni per il pagamento del riscatto. Terminata l'operazione di cifratura, Apocalypse impedisce all'utente di accedere al proprio desktop visualizzando una schermata di blocco con il seguente messaggio:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Recuperare i dati cifrati da Apocalypse

Liberarsi del ransomware non è difficile e, grazie ad un tool sviluppato da  Fabian Wosar di Emsisoft, è possibile recuperare anche i propri file.

• Il primo passo da seguire è quello di avviare il sistema in modalità provvisoria con supporto di rete (Safe Mode with Networking).
• Una volta in modalità provvisoria possiamo disabilitare l'avvio automatico del ransomware eliminando il seguente valore all'interno del registro di sistema HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc oppure disabilitandolo tramite msconfig (o dalla scheda Avvio di Gestione Attività)
  

  

  FIG 1 - Sezione Avvio da Gestione attività

• Scaricare il took di Emsisoft decrypt_apocalypse.exe dal seguente link http://decrypter.emsisoft.com/download/apocalypse e avviarlo
• Accettare la licenza
  
  

  

  FIG 2 - Licenza Decrypter for Apocalypse

• Il tool seleziona per default la partizione C: del disco. Cliccando su Add file(s) possiamo aggiungere altre partizioni o cartelle.
  
  

  

  FIG 3 - Emsisoft Decrypter for Apocalypse

• Quando siamo pronti basta cliccare su Decrypt. Tutti i file presenti nel disco selezionato e nelle relative sottocartelle verranno decriptati. I risultati/progressi saranno visibili dal tool all'interno della scheda Results.

Ransomware BadBlock: Come recuperare i file

Tra i tanti ransomware in circolazione, BadBlock è forse quello realizzato peggio. Generalmente i ransomware provvedono a cifrare solo i dati utente, lasciando intatto il sistema operativo in modo che l'utente visualizzi le informazioni per il pagamento del riscatto. BadBlock, invece, cifra non solo i dati dell'utente ma anche tutti i file eseguibili compresi quelli di sistema, così al successivo avvio l'utente potrebbe incappare in un messaggio simile a quello visualizzato in FIG 1 e Windows non viene caricato.

FIG 1 - Impossibile avviare Windows a causa di file mancante o corrotto

La maggior parte dei ransomware visualizzano il messaggio relativo al pagamento del riscatto solo quando hanno già cifrato tutti i dati dell'utente mentre BadBlock lo visualizza nel momento in cui inizia a cifrare i file e può essere bloccato terminando il processo badransom.exe dal Task Manager (Gestione attività).

FIG 2 - BadBlock: richiesta pagamento riscatto

Il ransomware BadBlock si diffonde principalmente tramite email. 
Quando si viene infettati, la prima operazione da effettuare è quella di stoppare il processo da Task Manager. É consigliabile non riavviare il sistema in quanto se il ransomware è riuscito a cifrare un file del sistema operativo, al successivo avvio, Windows potrebbe non ripartire.
Per rimuovere il ransomware basta effettuare una scansione con MalwareBytes dopo aver aggiornato il database. 

Come recuperare i dati cifrati

Passo 1: 
Per recuperare i dati cifrati è possibile utilizzare il tool Decrypt BadBlock sviluppato da Fabian Wosar di Emsisoft. Il tool può essere scaricato da http://decrypter.emsisoft.com/download/badblock 

Passo 2: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.

FIG 3 - Decrypt BadBlock: Creazione cartella sul desktop

Passo 3: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_badblock.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.

FIG 4 - BadBlock: Decryption Key

Passo 4: 
Accettare la licenza di utilizzo cliccando su Sì per proseguire e visualizzare la finestra Emsisoft Decrypter for BadBlock.

FIG 5 - Decrypt BadBlock - License terms

Passo 5: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.

FIG 6 - BadBlock: Emsisoft Decrypter

FIG 7 - BadBlock: Emsisoft Decrypter, risultati