Buone notizie per il progetto No More Ransom, creato per aiutare le vittime dei ransomware: la polizia belga, in collaborazione con Kaspersky Lab, è riuscita a ottenere le chiavi che servono per ripristinare i file cifrati con le nuove versioni del ransomware Cryakl, conosciuto anche come Fantomas. Il tool per decifrare i file è disponibile aggiornato sul sito Internet del progetto.
Cos’è Cryakl?
Il ransomware Cryakl (Trojan-Ransom.Win32.Cryakl) all’inizio veniva diffuso mediante allegati email provenienti da una fantomatica corte arbitrale e in relazione a un presunta infrazione. Si trattava di messaggi che avrebbero fatto tremare i polsi a chiunque, e anche i più sospettosi sarebbero stati propensi a cascarci e a cliccare sull’allegato. Successivamente, questo genere di messaggi arrivava da altri organismi, come un’associazione locale di proprietari.
Nel momento in cui vengono cifrati i file della vittima, Cryakl crea un lunga chiave che poi viene inviata a un server Command & Control. Senza questa chiave, è quasi impossibile ripristinare i file colpiti dal malware. Dopo di ciò, il salvaschermo abituale del computer viene sostituito da un messaggio con una richiesta di riscatto e le relative informazioni di contatto per pagarlo. La vittima visualizza anche l’immagine di una maschera di Fantomas, personaggio criminale dell’omonimo film francese del 1964, per questo il ransomware è conosciuto anche con questo nome. Cryakl ha colpito per lo più in Russia, per cui le informazioni che si hanno a disposizione sono soprattutto in russo.
Una storia a lieto fine
Come abbiamo detto a inizio post, lo sforzo congiunto dei nostri esperti e della polizia belga ha portato a ottenere la master key. L’indagine è partita quando la polizia informatica belga è venuta a conoscenza di casi nel proprio paese; successivamente, è stato scoperto un server Command & Control in un paese vicino, server neutralizzato grazie a un’operazione condotta dal pubblico ministero federale, più altri server C&C che avevano ricevuto le master key dai dispositivi infetti. Noi di Kaspersky Lab ci siamo fatti avanti e abbiamo offerto la nostra collaborazione alle forze dell’ordine (come è già successo in passato). I risultati, come in altre situazioni, sono stati strabilianti: i nostri esperti hanno aiutato nell’analisi dei dati e sono riusciti ad estrarre le chiavi per decifrare i file.
Tali chiavi sono già state aggiunte al tool RakhniDecryptor sul sito del progetto No More Ransom e la polizia federale belga fa parte ormai a tutti gli effetti dell’iniziativa. No More Ransom è un progetto attivo da luglio 2016 che ha aiutato gratuitamente decine di migliaia di persone a decifrare i file resi inutilizzabili dai ransomware, privando i cybercriminali di un potenziale bottino da 10 milioni di euro.
Come recuperare i file cifrati dal ransomware Cryakl
Sul sito No More Ransom troverete due tool per decifrare i file corrotti da Cryakl; il primo, RannohDecryptor, è operativo dal 2016 e funziona con le versioni più datate del ransomware. Potete scaricarlo su NoMoreRansom.org e leggere qui le istruzioni per decifrare i dati.
Il secondo tool, RakhniDecryptor, è stato aggiornato da poco con le master key ottenute dalla polizia belga e può essere scaricato sempre dallo stesso sito (qui le istruzioni). RakhniDecryptor riguarda le version più recenti di Cryakl; grazie a entrambi i tool dovreste essere in grado di ripristinare completamente i file infetti da questo ransomware.
Consigli di protezione per il futuro
Quando si ha a che fare con i crypto-ransomware, prevenire è sempre meglio che curare (conviene soprattutto dal punto di vista economico). Un’adeguata protezione vi farà dormire sonni tranquilli, senza dover ricorrere a tool per decifrare i vostri file. Ecco qui alcuni consigli a scopo preventivo:
- Salvate sempre una copia dei vostri file più importanti al di fuori del vostro computer, che sia su cloud, su un hard disk, su un dispositivo estraibile o su un altro computer. In questo articolo troverete le diverse opzioni di backup che avete a disposizione;
- Avvaletevi di una soluzione antivirus affidabile, come Kaspersky Total Security, che vi può aiutare anche nella creazione delle copie di backup dei file;
- Non scaricate programmi da fonti sospette, gli installer potrebbero contenere file dannosi con i quali non vorrete avere a che fare;
- Infine, non aprite allegati email da mittenti sconosciuti, anche se sembrano essere importanti o credibili. Se avete dubbi, chiamate al numero presente sul sito del progetto.