Decodificare TeslaCypt 3.0 e i file .micro: quando si può

È l’italiana TG Soft, software house padovana sviluppatrice dell’antivirus Vir.IT eXplorer, a proporre una soluzione per decodificare TeslaCrypt 3.0 ed, in particolare, i file crittografati dall’ultima variante del ransomware.

Bisogna essere chiari. Al momento non c’è una soluzione conosciuta per decodificare i file .micro (estensione usata dall’ultima variante del ransomware TeslaCrypt) nel caso in cui l’infezione sia ormai avvenuta.
E se il ransomware avesse ormai già fatto razzìa sul sistema dell’utente, non è attualmente possibile decifrare neppure i file .xxx e .ttt, altre estensioni usate da TeslaCrypt 3.0 per salvare su disco le copie crittografate dei file personali della vittima.

Ne abbiamo parlato nell’articolo TeslaCrypt, possibile recuperare i file cifrati dal ransomware? spiegando quali misure di “autoprotezione” sono state poste in essere dai criminali informatici autori del ransomware per inibire il recupero dei file cifrati.

Cosa riesce a fare, allora, la versione a pagamento di TG Soft Vir.IT eXplorer e quali innovazioni porta l’antivirus nella lotta contro TeslaCrypt 3.0?

Anche TG Soft Vir.IT eXplorer, almeno per ora, non riesce a recuperare i file già cifrati da TeslaCrypt 3.0 ma utilizza piuttosto un efficace approccio proattivo.

Se l’antivirus di TG Soft risultasse in esecuzione sul sistema dell’utente, non appena questi eseguisse una delle ultime varianti TeslaCrypt 3.0, l’attività del ransomware verrebbe immediatamente bloccata.
Vir.IT eXplorer riconosce infatti, in tempo reale, la procedura di codifica del ransomware e conseguentemente provvede ad interrompere tale routine insieme con l’azione di TeslaCrypt.

Come si vede nel video prodotto dai tecnici di TG Soft, però, il ransomware potrebbe comunque riuscire a crittografare alcuni file prima di essere “neutralizzato”.

Vir.IT eXplorer consente di recuperare anche tali file a partire dalla versione crittografata (.micro).

Ciò è possibile solo quando Vir.IT eXplorer è in esecuzione durante l’infezione da ransomware. Durante l’operazione di cifratura dei file, infatti, l’antivirus di TG Soft effettua presumibilmente un dump della memoria ossia memorizza su file un’immagine del suo contenuto.

Nel caso di TeslaCrypt 3.0, i tecnici di TG Soft hanno evidentemente studiato la procedura seguita dal ransomware per crittografare i file e, grazie al tool Ninjavir, hanno offerto la possibilità di decodificare i file cifrati.
Vir.IT eXplorer e Ninjavir, infatti, consentono di recuperare la chiave di codifica in tempo reale sul sistema infetto.

TG Soft e l’antivirus Vir.IT eXplorer riescono a decodificare in tempo reale i file crittografati dalle ultime varianti di TeslaCypt 3.0 proprio perché, evidentemente, è stato condotto un attento studio sul loro funzionamento.
Riteniamo che il recupero dei file crittografati non possa essere immediato nel caso in cui dovessero apparire nuove versioni – modificate – di TeslaCrypt.
Crediamo che in questi casi sia comunque necessario integrare il funzionamento delle routine di recupero dati di Vir.IT eXplorer e Ninjavir sviluppando il codice per gestire le nuove varianti dei ransomware.

Potrebbe quindi passare del tempo dal momento in cui si verifica la prima infezione al momento in cui sarà possibile decodificare i file cifrati dal ransomware.
In ogni caso, condicio sine qua non è la presenza dell’antivirus sul sistema dell’utente al momento dell’infezione da ransomware.

Abbiamo chiesto ai tecnici di TG Soft di fornirci qualche informazione in più ad integrazione del presente articolo.

In ogni caso, riteniamo sarebbe utile ed interessante se anche gli altri produttori di software antimalware integrassero un driver in grado di riconoscere l’operazione di codifica dei file ed, in particolare, un “minifilter driver” attraverso cui transitino tutte le operazioni di scrittura su disco. Potrebbe essere la mossa giusta per venire incontro ad una larghissima fetta di utenza aiutando nel contempo a prevenire gravi perdite di dati.