Nei giorni scorsi avevamo spiegato come decifrare i file crittografati dal ransomware TeslaCrypt, un malware dal comportamento simile a quello di Cryptolocker. Una volta in esecuzione sul sistema dell’utente, i file vengono automaticamente cifrati (con l’assegnazione dell’estione .ECC), gli originali cancellati e viene chiesto il versamento di un importo in denaro quale forma di riscatto.
Nel caso di TeslaCrypt (file .ECC) abbiamo illustrato come recuperare i file cifrati dal ransomware senza pagare nulla agli estorsori. Risolutivo è l’utilizzo dell’utilità sviluppata dal Talos Group di Cisco: Decodificare i file cifrati dal ransomware Tesla Crypt.
In questi ultimi giorni, però, hanno cominciato a diffondersi due nuove varianti di TeslaCrypt dal funzionamento sostanzialmente identico. Le nuove varianti sono state battezzate AlphaCrypt ed i file, questa volta, vengono cifrati con le estensioni .EZZ e .EXX.
AlphaCrypt non soltanto elimina i file originali dell’utente ma provvede a cancellare anche le cosiddette copie shadow (vedere l’articolo ) così da inbire l’eventuale recupero di versioni precedenti degli stessi file (Windows 7: a spasso nel tempo con la funzionalità “Versioni precedenti”).
Allo stato attuale, il Talos Group di Cisco non ha ancora aggiornato la sua utility di decodifica (tale programma non è in grado di recuperare i file a partire dalle versioni cifrate in formato .EZZ e .EXX così come avviene per i .ECC).
Stiamo però verificando in queste ore se Dr. Web, la società che è più attiva in assoluto nella risoluzione delle problematiche legate al recupero di file crittografati da ransomware (vedere Cryptolocker e altri ransomware: come decodificare i file), sia già in grado di decodificare i file .EZZ e .EXX di AlphaCrypt.