156675 Letture

Decodificare i file bloccati da Cryptolocker: ecco il tool pronto per l'uso

Cryptolocker è uno dei ransomware più famosi, diffusi e, allo stesso tempo, pericolosi. Come altri ransomware, Cryptolocker - una volta insediatosi sul sistema dell'utente - prende in ostaggio i file personali dell'utente crittografandoli con una chiave RSA a 2.048 bit, rimuovendo le copie originali (un possibile approccio consiste nell'utilizzo di strumenti per il recupero dei file al boot del sistema: Recuperare partizioni e dati persi con TestDisk e PhotoRec; Recuperare dati da un hard disk formattato) e chiedendo un riscatto (dall'inglese ransom). Nell'articolo Difendersi da Cryptolocker e dagli altri ransomware, avevamo a suo tempo spiegato come evitare l'infezione e come provare a recuperare i propri documenti nel caso in cui il ransomware li avesse ormai cifrati.


Decrypt Cryptolocker: la soluzione?

D'ora in poi, però, gli utenti che hanno subìto un'aggressione possono cominciare a tirare un sospiro di sollievo. I tecnici di FireEye e Fox It, note aziende specializzate nello sviluppo di soluzioni per la sicurezza informatica, hanno rilasciato Cryptolocker Decryption Tool, strumento gratuito che consente di decifrare i file precedentemente crittografati, sul proprio sistema, da parte del ransomware.

È bene precisare, sin da subito, che l'algoritmo crittografico utilizzato da Cryptolocker non è stato assolutamente scardinato. Come fanno, allora, FireEye e Fox It a permettere la decodifica dei file dell'utente?


I tecnici delle due società hanno allestito un servizio online che, a partire da un file cifrato da Cryptolocker, che l'utente deve obbligatoriamente caricare, fornisce la chiave privata da usare per decodificare tutte le informazioni "bloccate" dal malware. Il sito Decrypt Cryptolocker attinge infatti ad un corposo database di chiavi private che sono state raccolte di recente dopo il recente "annientamento" della botnet GameOver Zeus, utilizzata anche per la distribuzione - su scala planetaria - del malware Cryptolocker.

Dopo aver specificato un indirizzo e-mail valido sul sito Decrypt Cryptolocker ed inviato un file precedentemente cifrato da Cryptolocker, si dovrebbe ricevere via e-mail la chiave privata per decodificare tutti i documenti.
Scaricato il file Decryptolocker.exe, si dovrà aprire il prompt dei comandi di Windows e digitare quanto segue:

Decryptolocker.exe -key CHIAVE_RSA NOME_FILE.DOC

Al posto di CHIAVE_RSA dev'essere specificata la chiave privata ricevuta per e-mail mentre NOME_FILE.DOC va sostituito con il nome del file da decodificare (digitandone eventualmente il percorso completo).

Aggiornamento: Sta circolando una variante di Cryptolocker che non permette in alcun modo il recupero dei file crittografati. Suggeriamo, a tal proposito, la lettura dell'articolo Ransomware attacca la pubblica amministrazione.

Aggiornamento importante: Ulteriori varianti stanno impazzando in Italia presentandosi spesso sotto forma di e-mail phishing (si citano in nomi di famosi corrieri espresso italiani e di false spedizioni). Maggiori informazioni nell'articolo aggiornato: Infezione da Cryptolocker e CryptoWall: dati in pericolo.

  1. Avatar
    Michele Nasi
    11/12/2016 11:55:53
    La data di stesura dell'articolo è sempre riportata immediatamente sotto il titolo, in bell'evidenza.
  2. Avatar
    Duck
    11/12/2016 00:21:29
    Perchè non indicate le date degli articoli che scivete?
  3. Avatar
    Emiliano C
    26/10/2016 14:56:17
    Salve mi hanno criptato i file con questa estensione .b27e
  4. Avatar
    Simone - Assa
    31/05/2016 16:45:03
    Ciao, ma quale software devo usare dopo aver recuperato la chiave per decryptare i file? Grazie!
  5. Avatar
    edoardo.arnone
    10/04/2016 10:29:26
    ciao, c'è modo di recuperare Gb7.14 di file??
  6. Avatar
    Michele Nasi
    05/02/2016 17:18:08
    Che estensione hanno i file criptati?
  7. Avatar
    giuseppe6
    05/02/2016 16:41:35
    Salve, aiutatemi per favore , mi hanno criptato vent'anni di fotografia, praticamente la storia della mia famiglia oltre a documenti importanti
  8. Avatar
    Michele Nasi
    09/01/2016 15:57:32
    maxmad, ...ehm... è pubblicata in cima ad ogni singolo articolo.
  9. Avatar
    maxmad
    09/01/2016 14:21:32
    ... e' cosi' difficile o dannoso, inserire la data nel quale e' stato scritto l'articolo ??? o vi fanno male le ditine ???
  10. Avatar
    _Salvatore
    07/08/2015 09:33:55
    Abbiamo pagato, abbiamo la chiave, ma il software che ci inviano è riconosciuto come trojan dall'antivirus. Si può utilizzare la chiave con altro software?
Decodificare i file bloccati da Cryptolocker: ecco il tool pronto per l'uso - IlSoftware.it