CryptoLocker, non si paga più il riscatto di 300 dollari

CryptoLockerCryptoLocher è il malware più pericoloso in circolazione, perchè ha concesso ad un gruppo di pirati informatici di impossessarsi di migliaia di hard disk, chiedendo un riscatto minimo di 300 dollari ai rispettivi proprietari, per inviare la chiave di sblocco per accedere ai file criptati del CryptoLocher. Grazie alla ricerca di reverse engineering, FireEye e Fox-IT hanno creato un tool gratuito di decrittazione. Gli utenti non dovranno più corrispondere nessuna somma di denaro.

L’infrastruttura CryptoLocker è stata eliminata dall’FBI circa 2 mesi orsono (Operation Tovar) con la confisca dei server usati per distribuire il ransomware. In base alle stime recenti, in tutto il pianeta sono stati attaccati quasi un milione di pc ma, sebbene l’intervento del governo americano, sono ancora tanti gli utenti che non possono rientrare in possesso dei loro file.Anche il riutilizzo dei backup non consente l’accesso all’hard disk, in quanto il backup viene criptato in automatico non appena installato sul computer infetto. Il virus arriva sui computer degli utenti in tanti modi, di solito tramite phishing o attacchi watering hole. CryptoLocker cripta tutto il contenuto con una chiave AES-256 e la stessa viene a sua volta criptata con una chiave pubblica RSA a 2048 bit. Il messaggio che l’utente leggerà sul monitor si riferisce al pagamento del riscatto per avere la chiave privata RSA-2048.

FireEye e Fox-IT hanno strutturato un sito web – Decrypt CrytoLocker – che consente di decifrare i file. L’utente deve intanto fornire un email e caricare un file criptato senza contenuti confidenziali. Verrà spedita la master key ed il link per scaricare il tool Decryptolocker utile per recuperare i file. Il tool richiede l’utilizzo del prompt dei comandi di Windows. Si può decifrare un file per volta, tutti i file in una directory o tutti i file su disco.

Le due imprese specificano che il recupero dei file non è sicuro al 100%, perchè il database CryptoLocker potrebbe non avere la chiave cercata o perchè i file sono stati criptati con una versione più aggiornata del malware.

Related posts

Leave a Comment