Cryptolocker è uno dei ransomware più famosi, diffusi e, allo stesso tempo, pericolosi. Come altri ransomware, Cryptolocker – una volta insediatosi sul sistema dell’utente – prende in ostaggio i file personali dell’utente crittografandoli con una chiave RSA a 2.048 bit, rimuovendo le copie originali (un possibile approccio consiste nell’utilizzo di strumenti per il recupero dei file al boot del sistema: Recuperare partizioni e dati persi con TestDisk e PhotoRec; Recuperare dati da un hard disk formattato) e chiedendo un riscatto (dall’inglese ransom). Nell’articolo Difendersi da Cryptolocker e dagli altri ransomware, avevamo a suo tempo spiegato come evitare l’infezione e come provare a recuperare i propri documenti nel caso in cui il ransomware li avesse ormai cifrati.
Decrypt Cryptolocker: la soluzione?
D’ora in poi, però, gli utenti che hanno subìto un’aggressione possono cominciare a tirare un sospiro di sollievo. I tecnici di FireEye e Fox It, note aziende specializzate nello sviluppo di soluzioni per la sicurezza informatica, hanno rilasciato Cryptolocker Decryption Tool, strumento gratuito che consente di decifrare i file precedentemente crittografati, sul proprio sistema, da parte del ransomware.
È bene precisare, sin da subito, che l’algoritmo crittografico utilizzato da Cryptolocker non è stato assolutamente scardinato. Come fanno, allora, FireEye e Fox It a permettere la decodifica dei file dell’utente?
I tecnici delle due società hanno allestito un servizio online che, a partire da un file cifrato da Cryptolocker, che l’utente deve obbligatoriamente caricare, fornisce la chiave privata da usare per decodificare tutte le informazioni “bloccate” dal malware. Il sito Decrypt Cryptolocker attinge infatti ad un corposo database di chiavi private che sono state raccolte di recente dopo il recente “annientamento” della botnet GameOver Zeus, utilizzata anche per la distribuzione – su scala planetaria – del malware Cryptolocker.
Dopo aver specificato un indirizzo e-mail valido sul sito Decrypt Cryptolocker ed inviato un file precedentemente cifrato da Cryptolocker, si dovrebbe ricevere via e-mail la chiave privata per decodificare tutti i documenti.
Scaricato il file Decryptolocker.exe
, si dovrà aprire il prompt dei comandi di Windows e digitare quanto segue:
Al posto di CHIAVE_RSA
dev’essere specificata la chiave privata ricevuta per e-mail mentre NOME_FILE.DOC
va sostituito con il nome del file da decodificare (digitandone eventualmente il percorso completo).
Aggiornamento: Sta circolando una variante di Cryptolocker che non permette in alcun modo il recupero dei file crittografati. Suggeriamo, a tal proposito, la lettura dell’articolo Ransomware attacca la pubblica amministrazione.
Aggiornamento importante