Torniamo a parlare di virus informatici, in particolare di ransomware, ovvero un particolare tipo di crypto-type malware, anche conosciuti come cryptolocker (ctb-locker) virus, che negli ultimi anni, si sono diffusi in tutto il mondo in modo preoccupante.
Abbiamo già parlato di ransomware e cryptolocker virus, nel nostro precedente articolo: CTB-Locker, guida definitiva.
Fortunatamente, in questo caso ci sono ottime notizie per tutti coloro che sono incappati nel ransomware Teslacrypt, una particolare variante di ransomware, il cui bersaglio sono stati prevalentemente ma non solo i videogiocatori.
Ransomware Teslacrypt è stato sconfitto!
I ricercatori di ESET®, società leader nella produzione di software per la sicurezza digitale (tra cui il famoso NOD32 Antivirus) hanno messo a disposizione gratuitamente un tool di decodifica in grado di decriptare i file modificati dalle ultime versioni di Teslacrypt (v3 e v4), i cui file criptati hanno estensione: .xxx, .ttt, .micro, .mp3.
Questo importante risultato è stato possibile grazie a un ricercatore di ESET, che fingendosi una vittima di Teslacrypt ha contattato in forma anonima gli autori del malware chiedendo la chiave master per la decodifica. Sorprendentemente, i creatori del malware hanno consegnato spontaneamente la chiave di decodifica universale, consentendo così ad ESET di rilasciare il tool di decodifica.
Questa procedura e il tool come detto è valida purtroppo solo per alcuni tipi della categoria Cryptolocker, quelli basati su Teslacrypt. Dai nostri test, come previsto, il tool ha funzionato perfettamente per i files che erano stati criptati con estensione .micro, mentre invece non è stato efficace ad esempio con i file .encrypted, non essendo riconducibili a Teslacrypt. Ovviamente la speranza è che nel futuro usciranno tool appositi anche per altri ransomware, ed ovviamente nel caso torneremo sull’argomento!
Procedura
La procedura non è molto intuitiva, ma se segui attentamente le istruzioni non avrai problemi. Riportiamo solamente i passaggi fondamentali eseguiti in un sistema Windows 10, tramite comandi DOS eseguiti nella console di Windows (se ancora non lo hai fatto, PippoCD Blog consiglia l’aggiornamento a Windows 10). La procedura è comunque simile e valida anche per le versioni precedenti di Windows.
1. Per prima cosa, scarica il Tool da PippoCDBlog (consigliato) o direttamente dai server di Eset (in quest’ultimo caso, dopo il download, per comodità rinomina il file ESETTeslaCryptDecryptor.exe in ESET.exe)
2. Decompri il tool in una cartella semplice da raggiungere: esempio C:\files
3. Copia tutti i files criptati nella stessa cartella
Il tutto deve risultare cosi:
4. Lancia il prompt dei comandi con diritti di amministratore (basta cliccare su start, digitare “cmd” senza virgolette e cliccare con il tasto destro del mouse sul risultato della ricerca “prompt dei comandi” e poi cliccare con il sinistro su “esegui come amministratore” e confermare cliccando “SI” al controllo account utente.
5. Una volta aperto il Prompt digita il seguente comando, senza virgolette e seguito da INVIO (da tastiera)
“cd c:\files”
Ora con il seguente comando si esegue il tool per la decodifica:
“eset.exe c:\files”
A questo punto dovreste visualizzare una schermata come la sottostante:
terminata la decodifica, di solito rapida, il risultato dovrebbe essere simile a questo:
6. Chiudi la finestra del Prompt dei comandi (console del DOS) e torna alla cartella dei files dove troverai una copia di tutti i files DECRIPTATI e quindi potrai di nuovo utilizzarli normalmente tramite i rispettivi programmi con i quali sono stati creati.
Procedura alternativa
Invece di copiare il files criptati all’interno della cartella, puoi provare a lanciare il tool scansionando l’intera unità, seguendo questa procedura.
1. Come con la nostra procedura, scarica il Tool da PippoCDBlog (consigliato) o direttamente dai server di Eset (in quest’ultimo caso, dopo il download, per comodità rinomina il file ESETTeslaCryptDecryptor.exe in ESET.exe). Salva il file sul Desktop.
2. Lancia il prompt dei comandi con diritti di amministratore (clicca su start, digita “cmd” senza virgolette e clicca con il tasto destro del mouse sul risultato della ricerca “prompt dei comandi” quindi clicca con il sinistro su “esegui come amministratore” e conferma su “SI” al controllo account utente.
3. Digitare il seguente comando alla lettera (sempre senza virgolette)
“cd %userprofile%\Desktop”
e premi INVIO.
4. Digita
“ESET.exe C:”
e poi premi INVIO (dove C: è l’unità che intendi scansionare, se vuoi analizzare un altro disco sostituirai la lettera dell’unità corrispondente).
5. A questo punto inizia la scansione e vale quanto già detto nella procedura precedente.
Consigliamo comunque di tenere gli occhi aperti!!! Anche se Teslacrypt è stato sconfitto, ci sono tante nuove varianti ancora in circolazione e purtroppo scommettiamo che altrettante ne arriveranno… A breve un articolo su COME DIFENDERSI EFFICACEMENTE dai cryptolocker virus con soluzioni di Backup efficaci e affidabili, continua a seguirci! 😉