Due ricercatori piuttosto noti nel panorama internazionale, Michael Gillespie e Maxime Meignan, hanno sviluppato e pubblicato un programma che consente di decifrare i file crittografati dai ransomware InsaneCrypt ed Everbe.
Se ai vostri file fosse stata aggiunta una delle estensioni .insane, .deuscrypt, .Tornado, .twist, .everbe, .embrace, .pain, .volcano
, per estrarre tutti gli elementi in chiaro si dovrà dapprima scaricare InsaneCrypt (desuCrypt) Decrypter, avviarlo e cliccare sul menu Settings quindi su Bruteforcer.
Per risalire alla chiave di decodifica è necessario disporre di un file cifrato dal ransomware e della corrispondente versione in chiaro (da recuperare accedendo a qualche vecchio backup, per esempio).
Dopo aver indicato i file da esaminare, si dovrà fare clic sul pulsante Start e pazientare finché InsaneCrypt (desuCrypt) Decrypter non riuscirà a identificare la chiave di decodifica corretta.
Come ultimo passo basterà indicare la cartella contenente i file cifrati dal ransomware (se si volesse analizzare l’intero contenuto dell’unità sarà sufficiente indicare C:\
) quindi fare clic sul pulsante Decrypt.
Alcuni file potrebbero essere ignorati in forza dei permessi ad essi attribuiti: in questi casi si dovrà risolvere la situazione e ripetere i passaggi precedenti.
Al termine delle operazioni di decodifica si può usare un programma come CryptoSearch per individuare tutti i file cifrati memorizzati sul sistema e spostarli altrove. Dopo aver confrontato la lista dei file individuati da CryptoSearch con quella degli elementi decodificati da InsaneCrypt (desuCrypt) Decrypter si potranno eventualmente rimuovere le versioni cifrate dal ransomware.
Va tenuto presente che il tool gratuito InsaneCrypt (desuCrypt) Decrypter non funziona con i file crittografati dal ransomware Everbe 2.0. Nella seconda variante non sono state ad oggi individuate lacune sfruttabili per decodificare i file.