43575 Letture

Esiste una soluzione per Cryptolocker?

Di Cryptolocker abbiamo parlato abbondantemente in passato. Cryptolocker è il malware (ransomware) che una volta insediatosi sul sistema provvede a crittografare documenti e file personali dell'utente utilizzando una chiave privata, generata e conservata per alcuni giorni su server remoti.
Per decodificare i file cifrati da Cryptolocker, gli autori di questa minaccia intimano agli utenti vittima dell'infezione il versamento di un importo variabile, generalmente compreso tra i 200 e gli 800 euro. La somma, un vero e proprio riscatto, viene richiesta attraverso il versamento dell'equivalente attraverso la rete Bitcoin che, tra l'altro, garantisce anche una transazione nel perfetto anonimato.

Decodificare i file cifrati da Cryptolocker

Esiste, però, una soluzione per decodificare i file bloccati da Cryptolocker? La risposta è "ni".
Molte realtà, anche nel nostro Paese, affermano di possedere gli strumenti giusti per decodificare i file cifrati da Cryptolocker. Si tratta di una mezza verità perché, almeno allo stato attuale, non esiste una soluzione per tutti i file crittografati dai ransomware.


Iniziamo col fare un po´ di chiarezza.

Come spiegato nel nostro articolo Infezione da Cryptolocker e CryptoWall: dati in pericolo, la prima variante del ransomware Cryptolocker è stata avvistata in Rete ad inizio settembre 2013.
Successivamente, sono comparse diverse varianti del primo Cryptolocker (l'ultimo esempio: Cryptolocker: nuova variante, falso messaggio da SDA) insieme con altri ransomware dal funzionamento molto simile. Si è parlato, allora, di TorrentLocker, CryptoWall, CTB-Locker (Cryptolocker: nuova ondata di attacchi in Italia).
Cryptolocker, di per sé, non esiste ormai più anche se si è continuato ad utilizzare il suo nome come capostipite di una generazione di pericolosissimi malware.

Per le prime versioni di Cryptolocker comparve un tool sul web (Decodificare i file bloccati da Cryptolocker: ecco il tool pronto per l'uso) che permetteva di decifrare i file bloccati dal ransomware.
Il meccanismo, però, funzionava e funziona solamente con le prime versioni del malware: grazie ad un'operazione congiunta (alla quale hanno partecipato anche FBI ed Interpol), a metà del 2014 è stato possibile chiudere una rete di sistemi usata per la distribuzione del ransomware.
Grazie a quest'intervento si poterono recuperare le chiavi private di migliaia di utenti infettati dal malware e capire di più sul suo funzionamento.

Chi invece è vittima di una variante più nuova di Cryptolocker così come dei "ransomware fratelli", non potrà recuperare facilmente i file usando lo strumento cui abbiamo fatto riferimento nel precedente articolo.

La soluzione di Dr. Web per decodificare i file bloccati da Cryptolocker

Dr.Web è una delle aziende specializzate in sicurezza informatica che si sono maggiormente prodigate nello studio di Cryptolocker e delle sue varianti.

Qualche tempo fa Dr.Web aveva pubblicamente confermato di aver individuato una soluzione per decodificare il 90% dei file bloccati da una variante di Cryptolocker, battezzata col nome di Trojan.Encoder.398 (vedere il comunicato).
La società russa sembrerebbe assegnare il nome Trojan.Encoder a tutti i ransomware scoperti indipendentemente dalle varianti. Il codice numerico, invece, cambia in relazione alla famiglia degli encoder ossia dei componenti che, una volta in esecuzione sul sistema, crittografano i file dell'utente.

Marco Giuliani, CEO dell'italiana Saferbytes, chiarisce che "a settembre 2014 alcuni ricercatori hanno analizzato il codice di TorrentLocker (uno dei "figli" di Cryptolocker, n.d.r.) e hanno identificato una grave falla nell'implementazione dell'algoritmo di crittografia AES. L'algoritmo era stato implementato in CTR (Counter) mode, ma utilizzava la stessa chiave e lo stesso IV per ogni file da crittografare, quindi il keystream generato era sempre lo stesso per qualsiasi file, rendendo di fatto un cifrario a blocchi come un cifrario a flusso e rendendolo vulnerabile ad un reused key attack. Bastava quindi conoscere anche solo un file decodificato, nella sua forma originale, per recuperare l'intera chiave di decodifica per tutti i file. Purtroppo, tuttavia, gli autori del TorrentLocker hanno velocemente tappato questa falla, cambiando la modalità di utilizzo dell'AES da CTR a CBC, che protegge efficacemente dall'estrazione dell'eventuale keystream".

Giuliani, conosciutissimo nel panorama italiano ed internazionale, ha insomma fatto presente come l'algoritmo crittografico AES 256 bit non fosse implementato in maniera corretta e quindi veniva dato un importante appiglio ai ricercatori di sicurezza per risalire alle chiavi crittografiche e sviluppare un tool automatizzato per la decodifica dei dati.
Il VI (vettore di inizializzazione o IV, initialization vector) citato da Giuliani è un blocco di bit utilizzato nelle operazioni crittografiche che viene sfruttato per inizializzare lo stato di un cifrario.
Sfruttando la poca attenzione in questo caso riposta dagli autori di Cryptolocker, bastava recuperare anche un solo file non crittografato per sferrare un attacco known plain text e recuperare la chiave di codifica.

Gli sforzi dei ricercatori di Dr.Web si sono così concentrati proprio su questi aspetti.

Successivamente, gli sviluppatori del ransomware hanno corretto queste "leggerezze".


"Essendo stata bloccata questa via di recupero della chiave di codifica, non è quindi ben chiaro quindi se Dr.Web, nel suo comunicato, faccia riferimento a qualche tecnologia non ancora conosciuta agli altri ricercatori o se, vista la data di pubblicazione del comunicato, utilizzino la stessa tecnica che sfrutta quella vulnerabilità di implementazione dell'algoritmo AES. Una tecnica che, come già evidenziato, è inutilizzabile con le nuove varianti di Cryptolocker", ha aggiunto ancora Giuliani.

Dr.Web offre una serie di strumenti per decodificare i file cifrati da Cryptolocker: si chiamano teXXXdecrypt.exe dove, al posto, di "XXX", Dr.Web specifica l'identificativo corrispondente allo specifico encoder utilizzato da ciascun ransomware. La concessione del tool di decodifica è per il momento appannaggio dei soli utenti in possesso di una licenza d'uso Dr.Web.
Il software Dr.Web CureIt!, una volta eseguito ed autorizzata la scansione del sistema in uso, permetterà di stabilire quale variante di Cryptolocker fosse eventualmente presente.

Nuova variante di Cryptolocker in circolazione in queste ore: nuovo messaggio phishing SDA

Giuliani ha poi rivelato che proprio in queste ore ha iniziato a circolare una nuova variante di Cryptolocker che, al momento, è riconosciuta da ben pochi motori di scansione antimalware (vedere quest'analisi su VirusTotal).

Come accaduto di recente, il ransomware si diffonde via email presentandosi con un falso messaggio apparentemente proveniente dal corriere espresso SDA.


Aggiornamento: come decodificare i file bloccati da Cryptolocker

Per conoscere le ultime novità, suggeriamo la lettura dell'articolo seguente:

- Cryptolocker e altri ransomware: come decodificare i file

È bene ricordare però che non tutti i file cifrati dai ransomware in circolazione possono essere effettivamente oggetto di decodifica.

  1. Avatar
    Fabiosecondo
    08/11/2016 13:43:58
    per avere il software alcuni dicon 70 € a me oggi ne sono stati chiesti 150 + iva ( 183 € ) la differenza non e' poco per chi deve far quadrare il bilancio . Giusto che anche i tecnici i quali hanno risolto il problema si facciano pagare ( tutti hanno famiglia ) , basta non esagerare .
  2. Avatar
    zippoalice
    05/08/2016 09:50:25
    buon giorno, ho un nuovo caso, questa volta l'estensione è "yibatme", non compresa in tesladecripter, qualcuno ha qulche info? grazie
  3. Avatar
    ForumEA
    25/05/2016 10:15:08
    E' stato trovato il sistema per recuperare i file criptati , è gratuito e si fa da soli Un saluto
  4. Avatar
    Giovyy
    27/04/2016 11:30:02
    Contattato questo ****** per decriptazione crytonlocker mi sono vista chiedere circa 180 euro .Non so come definire questa richiesta: Il trionfo della solidarietà virtuale ? L'ecumenismo della società 2.0 ? L'apologia dell'altruismo ? In una mail di spudorata rivendicazione del proprio lavoro avanza costi altissimi di ricerca e di aggiornamento materiali sofisticati propedeutici a nuove battaglie contro il crimine... Mancava il, ringraziamento, ai pirati che inviano questi virus, per lo stimolo alla crescita del Pil in tutto il mondo per completare il quadro di un operazione che io definisco VERGOGNOSA !! P.s. Preferisco tutta la vita dare 350 euro a Pirati che 200 a questi "innominabili" ......... i puntini lasciateli riempire alla vostra fantasia saluti
  5. Avatar
    tacuma
    03/10/2015 13:49:01
    Vorrei chiederti come hai contattato il sig. Alessandro se potresti passarmi la mail. grazie mille
  6. Avatar
    _Marchetto_
    31/07/2015 13:50:07
    600 Gb di dati criptati dal virus e successivamente decriptati dal tool fornitomi da decryptolocker.it. Un sentito ringraziamento al Sig. Alessandro, a cui posso senza dubbio consigliarevi di rivolgervi! :approvato: Marco
  7. Avatar
    Marco.80
    31/07/2015 11:06:41
    Confermo che il sito decryptolocker.it risolve il problema! Dopo aver postato in forum ho provato a riscrivere una mail e questa volta mi hanno risposto nel giro di pochi minuti, e tempo due ore avevo il pc ripristinato. Confermo anche l'importo di 70 euro da pagare per la consulenza e la licenza di DR. Web per 12 mesi, il tutto regolarmente fatturato. Saluti marco
  8. Avatar
    Lettore anonimo
    28/07/2015 12:18:37
    Salve a tutti, Sono capitato su questa pagina cercando soluzioni al problema del cryptolocker. Ho visto che molti, anche di recente, hanno trovato soluzione al problema grazie al sito decryptolocker.it: io ho inviato una mail il 22 luglio con i due file allegati come richiesto all'indirizzo mail che si trova nella pagina, alessandro@nvkcloud.com, ma non ho ancora avuto alcuna risposta. Nei vari post ho letto che alcuni si erano messi anche in contatto telefonico con qualcuno dell'azienda, se fosse possibile mi piacerebbe avere questo numero per poterli contattare direttamente. Un grazie in anticipo, Saluti marco
  9. Avatar
    Michele Nasi
    20/07/2015 12:28:38
    :approvato: Grazie per la tua testimonianza :wink:
Esiste una soluzione per Cryptolocker? - IlSoftware.it