Ricerca

lunedý 26 settembre


Decodificare i file bloccati da Cryptolocker: ecco il tool pronto per l'uso

di Michele Nasi (06/08/2014)

Cryptolocker è uno dei ransomware più famosi, diffusi e, allo stesso tempo, pericolosi. Come altri ransomware, Cryptolocker - una volta insediatosi sul sistema dell'utente - prende in ostaggio i file personali dell'utente crittografandoli con una chiave RSA a 2.048 bit, rimuovendo le copie originali (un possibile approccio consiste nell'utilizzo di strumenti per il recupero dei file al boot del sistema: Recuperare partizioni e dati persi con TestDisk e PhotoRec; Recuperare dati da un hard disk formattato) e chiedendo un riscatto (dall'inglese ransom). Nell'articolo Difendersi da Cryptolocker e dagli altri ransomware, avevamo a suo tempo spiegato come evitare l'infezione e come provare a recuperare i propri documenti nel caso in cui il ransomware li avesse ormai cifrati.

Decrypt Cryptolocker: la soluzione?

D'ora in poi, però, gli utenti che hanno subìto un'aggressione possono cominciare a tirare un sospiro di sollievo. I tecnici di FireEye e Fox It, note aziende specializzate nello sviluppo di soluzioni per la sicurezza informatica, hanno rilasciato Cryptolocker Decryption Tool, strumento gratuito che consente di decifrare i file precedentemente crittografati, sul proprio sistema, da parte del ransomware.

È bene precisare, sin da subito, che l'algoritmo crittografico utilizzato da Cryptolocker non è stato assolutamente scardinato. Come fanno, allora, FireEye e Fox It a permettere la decodifica dei file dell'utente?

I tecnici delle due società hanno allestito un servizio online che, a partire da un file cifrato da Cryptolocker, che l'utente deve obbligatoriamente caricare, fornisce la chiave privata da usare per decodificare tutte le informazioni "bloccate" dal malware. Il sito Decrypt Cryptolocker attinge infatti ad un corposo database di chiavi private che sono state raccolte di recente dopo il recente "annientamento" della botnet GameOver Zeus, utilizzata anche per la distribuzione - su scala planetaria - del malware Cryptolocker.

Dopo aver specificato un indirizzo e-mail valido sul sito Decrypt Cryptolocker ed inviato un file precedentemente cifrato da Cryptolocker, si dovrebbe ricevere via e-mail la chiave privata per decodificare tutti i documenti.
Scaricato il file Decryptolocker.exe, si dovrà aprire il prompt dei comandi di Windows e digitare quanto segue:

Decryptolocker.exe -key CHIAVE_RSA NOME_FILE.DOC

Al posto di CHIAVE_RSA dev'essere specificata la chiave privata ricevuta per e-mail mentre NOME_FILE.DOC va sostituito con il nome del file da decodificare (digitandone eventualmente il percorso completo).

Aggiornamento: Sta circolando una variante di Cryptolocker che non permette in alcun modo il recupero dei file crittografati. Suggeriamo, a tal proposito, la lettura dell'articolo Ransomware attacca la pubblica amministrazione.

Aggiornamento importante: Ulteriori varianti stanno impazzando in Italia presentandosi spesso sotto forma di e-mail phishing (si citano in nomi di famosi corrieri espresso italiani e di false spedizioni). Maggiori informazioni nell'articolo aggiornato: Infezione da Cryptolocker e CryptoWall: dati in pericolo.

Articolo seguente: 1,2 miliardi di password nelle mani dei russi? Krebs conferma
Articolo precedente: Niente Windows 8.1 Update 2: Microsoft rilascerÓ aggiornamenti singoli, le novitÓ
142790 letture
Ultimi commenti
inviato da Simone - Assa > pubblicato il 31/05/2016 16:45:03
Ciao, ma quale software devo usare dopo aver recuperato la chiave per decryptare i file? Grazie!
inviato da edoardo.arnone > pubblicato il 10/04/2016 10:29:26
ciao, c'Ŕ modo di recuperare Gb7.14 di file??
inviato da Michele Nasi > pubblicato il 05/02/2016 17:18:08
Che estensione hanno i file criptati?
inviato da giuseppe6 > pubblicato il 05/02/2016 16:41:35
Salve, aiutatemi per favore , mi hanno criptato vent'anni di fotografia, praticamente la storia della mia famiglia oltre a documenti importanti
inviato da Michele Nasi > pubblicato il 09/01/2016 15:57:32
maxmad, ...ehm... Ŕ pubblicata in cima ad ogni singolo articolo.
inviato da maxmad > pubblicato il 09/01/2016 14:21:32
... e' cosi' difficile o dannoso, inserire la data nel quale e' stato scritto l'articolo ??? o vi fanno male le ditine ???
inviato da _Salvatore > pubblicato il 07/08/2015 09:33:55
Abbiamo pagato, abbiamo la chiave, ma il software che ci inviano Ŕ riconosciuto come trojan dall'antivirus. Si pu˛ utilizzare la chiave con altro software?
inviato da Michele Nasi > pubblicato il 08/07/2015 11:42:26
Leggi qui: http://www.ilsoftware.it/articoli.asp?t ... file_12149 http://www.ilsoftware.it/ricerca.asp?q= ... =2&a=cerca


Leggi tutti i commenti

Commenta anche su Facebook
Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2016

PRIVACY | INFORMATIVA ESTESA COOKIES | Info legali | Pubblicità | Contatti | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS