File EZZ EXX e ECC: come recuperare gli originali

In queste settimane si stanno diffondendo a macchia d’olio nuove varianti del ransomware TeslaCrypt, battezzate con l’appellativo di AlphaCrypt. Si tratta di un nuovo pericoloso malware che, una volta insediatosi sul sistema dell’utente, provvede a codificare il contenuto di tutti i file contenenti informazioni personali cancellando gli originali e tentando di estorcere il versamento di una somma in denaro (da conferirsi come BitCoin) a titolo di riscatto.

La presenza di file EZZ, EXX e ECC (versioni crittografate degli originali), è il più evidente sintomo dell’infezione (ne abbiamo parlato anche nell’articolo File cifrati come .EZZ e .EXX: si tratta di AlphaCrypt).

Mentre la prima versione del ransomware (TeslaCrypt), che codifica i file attribuendo loro l’estensione ECC è stata “sconfitta” (Decodificare i file cifrati dal ransomware Tesla Crypt), sino ad oggi non risultava possibile decodificare i file EZZ e EXX criptati da AlphaCrypt.

Il nuovo tool, battezzato TeslaDecoder, è in grado di recuperare tutti i file crittografati da TeslaCrypt ed AlphaCrypt a patto che sul sistema in uso sia ancora presente il file di appoggio contenente la chiave di decodifica. Diversamente rispetto ad altri ransomware, che memorizzano le chiavi private su server remoti, in questo caso le chiavi per la decodifica possono essere estratte da un file con estensione .dat memorizzata in una sottocartella della directory %appdata% di Windows.

Per provare ad utilizare TeslaDecoder e tentare la decodifica dei file crittografati da TeslaCrypt o AlphaCrypt, è possibile effettuare il download di questo programma da Dropbox.