I tecnici dei laboratori Cisco Talos hanno reso noto di aver completato lo sviluppo di ThanatosDecryptor, un software gratuito capace di decodificare i file crittografati dal popolare ransomware Thanatos.
Gli esperti di Cisco Talos hanno raccolto la sfida lanciata dagli sviluppatori del ransomware che, come gli altri malware di questa categoria, una volta in esecuzione sul sistema dell’utente, provvedeva a cifrare i dati e a chiedere un riscatto in denaro.
In alcuni casi, Thanatos non chiede alcuna contropartita economica ma si limita a rendere irrecuperabili i dati degli utenti.
ThanatosDecryptor sfrutta alcune debolezze individuate nella procedura di cifratura dei dati utilizzata dagli sviluppatori del ransomware per mettere gli utenti colpiti da questo malware nelle condizioni di recuperare i loro file.
Come spiegato in questa dettagliata analisi, il ransomware Thanatos genera le chiavi crittografiche usate per “sequestrare” i file prendendo come riferimento il numero di millisecondi trascorsi dall’ultimo avvio o riavvio del sistema.
Dal momento che tale valore è pari a 32 bit e che il numero di millisecondi non può comunque superare l’equivalente di 49,7 giorni, i tecnici di Cisco Talos hanno capito come sferrare un attacco brute force fosse in questo caso abbastanza semplice.
Risalire alla chiave crittografica utilizzata da Thanatos è evidentemente ancora più facile quando si agisce a distanza di meno di 24 ore dall’infezione.
ThanatosDecryptor è scaricabile facendo riferimento a queste pagine su GitHub.