QR code per la pagina originale

CryptoLocker, gli utenti non pagano più

FireEye e Fox-IT hanno realizzato un tool gratuito che può essere utilizzato per chiedere la chiave privata RSA-2048 e quindi decifrare i file criptati.

,

CryptoLocker è uno dei malware più pericolosi in circolazione, in quanto ha permesso ad un gruppo di cybercriminali di prendere in ostaggio centinaia di migliaia di hard disk, chiedendo ai proprietari il pagamento di un riscatto di almeno 300 dollari per ricevere la chiave che consente di accedere ai file criptati. Grazie al lavoro di reverse engineering, FireEye e Fox-IT hanno realizzato un tool gratuito di decrittazione. Gli utenti non dovranno più pagare nessuna somma di denaro.

L’infrastruttura CryptoLocker è stata smantellata dall’FBI circa due mesi fa (Operation Tovar) con il sequestro dei server utilizzati per distribuire il ransomware. Secondo le stime recenti, in tutto il mondo sono stati colpiti quasi un milione di computer ma, nonostante l’intervento del governo statunitense, sono ancora molti gli utenti che non possono rientrare in possesso dei loro file. Anche il ripristino dei backup non permette di accedere al disco, in quanto il backup stesso viene automaticamente criptato quando montato sul computer infetto.

Il malware arriva sui PC degli utenti in vari modi, principalmente tramite phishing o attacchi watering hole. CryptoLocker cripta tutti file con una chiave AES-256 e quest’ultima viene a usa volta criptata con una chiave pubblica RSA a 2048 bit. Il messaggio che l’utente visualizzerà sullo schermo è riferito al pagamento del riscatto per ottenere la chiave privata RSA-2048.

FireEye e Fox-IT hanno creato un sito web – Decrypt CrytoLocker – che permette di decifrare i file. L’utente deve innanzitutto fornire un indirizzo email e caricare un file criptato che non contiene informazioni confidenziali. Verrà quindi inviata la master key e il link per scaricare il tool Decryptolocker necessario per recuperare i file. Il tool richiede l’uso del prompt dei comandi di Windows. È possibile decifrare un file alla volta, tutti i file in una cartella o tutti i file su disco.

Le due aziende sottolineano che il recupero dei file non è garantito al 100%, in quanto il database CryptoLocker potrebbe non contenere la chiave cercata oppure perché i file sono stati criptati con una versione più recente del malware.

Fonte: FireEye • Immagine: Ransomware, via Shutterstock • Notizie su: