Visualizzazione post con etichetta decriptare dati. Mostra tutti i post
Visualizzazione post con etichetta decriptare dati. Mostra tutti i post

venerdì 12 febbraio 2021

Ransomware Ziggy: Decriptare i file

Come visto per tanti ransomware, anche Ziggy blocca l'accesso ai file cifrando il loro contenuto (tramite l'utilizzo degli algoritmi RSA-4096 e AES-256 GCMe richiedendo un riscatto. In tutte le cartelle contenenti file cifrati viene creato il file "## HOW TO DECRYPT ##.exe", un file eseguibile che visualizza le istruzioni per il pagamento del riscatto. I file cifrati vengono rinominati aggiungendo al nome l'ID della vittima, l'indirizzo email lilmoon1@criptext.com e, infine, l'estensione .ziggy.

Ad esempio il file
foto.jpg
verrà rinominato dal ransomware in qualcosa del tipo
foto.jpg.id=[A235D928].email=[lilmoon1@criptext.com].ziggy

Nel messaggio di riscatto la vittima viene invitata a contattare un indirizzo email indicando il proprio ID per procedere al pagamento del riscatto in Bitcoin. Una volta effettuato il pagamento verranno inviati un tool e relative istruzioni per procedere al recupero dei propri dati. Nel messaggio viene anche indicato che il prezzo da pagare dipende da quanto celermente le vittime contatteranno gli sviluppatori del ransomware facendo intendere che più tempo passa dall'infezione più alto sarà il riscatto. Prima di effettuare il pagamento, alla vittima viene data la possibilità di inviare 5 file che verranno decrittati gratuitamente (una sorta di prova di affidabilità). 
In questi casi dovrebbe essere superfluo ricordare che, avendo a che fare con criminali, il pagamento del riscatto non garantisce il recupero dei dati.
Ziggy, messaggio del riscatto
FIG 1 - Ziggy, messaggio del riscatto


Da qualche giorno i server di Ziggy sono stati chiusi e gli sviluppatori, forse anche per le recenti operazioni di polizia contro i ransomware Emotet e Netwalker, hanno deciso di rendere pubbliche le chiavi di decrittazione. Gli sviluppatori del ransomware hanno rilasciato un file SQL contenente, per ciascuna vittima, 3 chiavi da utilizzare per decrittare i dati ed è stato rilasciato anche il relativo tool. 
File SQL con chiavi di decrittazione
FIG 2 - File SQL con chiavi di decrittazione

Decryptor fornito dagli sviluppatori di Ziggy
FIG 3 - Decryptor fornito dagli sviluppatori di Ziggy


Il ransomware procedeva a criptare i dati degli utenti con chiavi di cifratura offline nel caso in cui le vittime non fossero connesse ad Internet o nel caso in cui i server C & C non fossero raggiungibili. Gli sviluppatori hanno anche condiviso il codice sorgente del decryptor contenente le chiavi di decrittazione offline.

Grazie alle informazioni e alle chiavi rilasciate, l'esperto di ransomware Michael Gillespie ha creato il tool Emsisoft Decryptor for Ziggy che permette alle vittime di recuperare i propri dati:
  • Il tool può essere scaricato da https://www.emsisoft.com/ransomware-decryption-tools/ziggy
  • Una volta avviato, per proseguire, è necessario accettare i termini di licenza cliccando sul pulsante Yes.
    Decryptor for Ziggy, Licenza
    FIG 4 - Decryptor for Ziggy, Licenza

  • Cliccare sull'unico pulsante Browse attivo, selezionare un file crittografato da recuperare quindi cliccare su Start per avviare l'analisi.
    Decryptor for Ziggy
    FIG 5 - Decryptor for Ziggy

  • Al termine dell'analisi verrà visualizzata una finestra di dialogo informativa relativa alle chiavi di decrittazione trovate. Per proseguire cliccare su OK.
    Decryptor for Ziggy, Decryption Key found
    FIG 6 - Decryptor for Ziggy, Decryption Key found

  • La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante Add folder è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti Remove object(s), per eliminare quelli selezionati, o Clear object list per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su Decrypt per avviare il processo.

    Decryptor for Ziggy, Decrypt
    FIG 7 - Decryptor for Ziggy, Decrypt

  • Nella scheda Results sarà possibile visualizzare i dettagli sull'operazione di recupero in corso.





domenica 16 luglio 2017

Ransomare Petya: Rilasciata la master key

L'autore o gli autori del ransomware Petya hanno rilasciato la master key per decriptare i dati cifrati da tutte le versioni del malware che includono:

  • Prima versione di Petya (teschio bianco su sfondo rosso visualizzato al boot del sistema);
  • Seconda versione di Petya che include il ransomware Mischa (teschio verde su sfondo nero);
  • Terza versione conosciuta come GoldenEye (teschio giallo su sfondo nero).

Schermata visualizzata al boot dalla prima versione di Petya
FIG 1 - Schermata visualizzata al boot dalla prima versione di Petya

La master key è stata rilasciata dall'utente Janus attraverso Twitter e può essere scaricata da Mega.nz
Tweet dell'utente Janus che annuncia il rilascio della master key
FIG 2 - Tweet dell'utente Janus che annuncia il rilascio della master key

Anton Ivanov, ricercatore di sicurezza di Kaspersky, ha verificato e confermato la validità della chiave.



Il ransomware Petya non va confuso con NotPetya che, anche se è nato modificando la versione originale del ransomware Petya, è stato creato da un'altro gruppo e adotta una routine di cifratura diversa.