Come decriptare il ransomware CryptXXX

Il ransomware CryptXXX cripta file, sottrae denaro e bitcoin. Sembra una cosa seria, ma abbiamo una soluzione!

Quando si tratta di ransomware, l’esperienza dell’utente medio è la seguente: si apre un sito, poi per sbaglio si scarica e si installa il componente di un software, magari senza neanche accorgersene. Per un po’ non succede niente e all’improvviso compare una notifica: tutti i dati sono criptati da un trojan che vuole del denaro per restituirli. Si controlla per vedere se è vero e appare: accesso negato ai file. Inoltre si vede che sono caricati con la nefasta estensione .crypt

Se vi riconoscete in questa situazione imbarazzante, pare che il vostro sistema sia stato infettato dal ransomware CryptXXX. Si tratta di un trojan molto dannoso che cripta i file e sottrae i vostri dati personali e bitcoin. Ma abbiamo delle buone notizie: esiste un tool gratuito in grado di curare il vostro sistema da questa infezione.

Cos’è CryptXXX

Se siete alla ricerca del manuale di decriptazione dei file, potete saltare questa parte: basta scorrere l’articolo per trovare le info che cercate. Prima però parleremo di alcuni aspetti relativi al trojan.

Il 15 aprile, i ricercatori di Proofpoint hanno scoperto un ransomware nuovo di zecca che ha utilizzato l’exploit kit Angler per infettare i dispositivi Windows. Poiché i cybercriminali non hanno imposto alcun nome alla loro creazione, è stato chiamato CryptXXX. È probabile che i ricercatori abbiano scelto quel nome perché il trojan ha la pessima abitudine di aggiungere l’estensione .crypt ai nomi di tutti i file infetti e XXX è il secondo nome di Angler.

CryptXXX è un interessante campione di ransomware. I file non vengono criptati subito, ma solo trascorso un po’ di tempo dall’infezione. I criminali lo fanno per confondere le vittime e rendere più difficile rilevare quali siti abbiano diffuso il malware.

Dopo aver concluso il criptaggio, il trojan crea tre manuali: un file di testo, un’immagine e una pagina web HTML. L’immagine è inserita come sfondo del desktop (forse, per maggiore chiarezza). La pagina web è aperta in un browser, mentre il file di testo rimane sull’hard disk, non si sa mai. Tutti i manuali contengono un testo simile.

Poi informano le vittime che i loro file sono stati criptati con l’aiuto di RSA4096, un algoritmo crittografico più forte, e per restituire i dati chiedono a cambio un riscatto di 500$ in bitcoin. L’utente deve installare il browser Tor e cliccare sul link nel manuale per aprire un sito .onion che include istruzioni dettagliate e la forma di pagamento. Forniscono persino una pagina con alcune FAQ per facilitare il processo!

CryptXXX è anche molto curioso e ingordo: non solo cripta i file, ma ruba anche i bitcoin conservati negli hard disk delle vittime e copia altri dati che possono tornare utili ai cybercriminali.

È terribile, ma abbiamo la cura!

In genere, è molto difficile trovare un algoritmo di decriptazione universale per i ransomware moderni. Ecco perché molto spesso la vittima non può far altro che pagare il riscatto. Noi però non consigliamo questa mossa, a meno che non sia l’ultima spiaggia.

Per fortuna, pare che CryptXXX non sia così difficile da distruggere. Gli esperti di Kaspersky Lab hanno creato un tool che può aiutare gli utenti a ripristinare i file criptati.

L’utility RannohDecryptor fu creata all’inizio per decriptare i file presi in oggetto del ransomware Rannohe. Col tempo ha acquistato ulteriori ed utili funzioni. Adesso può essere utilizzato per curare i vostri file dall’attività di CryptXXX.

Se il ransomware CryptXXX si è fatto strada nel vostro sistema, non tutto è perduto. Per recuperare i vostri file avrete bisogno della versione originale (non criptata) di almeno un file colpito da CryptXXX.  Se avete fatto il backup di più file come questo, funzionerà.

Poi dovete seguire queste istruzioni:

  1. Scaricate il tool e avviatelo.
  1. Aprite le Impostazioni e scegliete il tipo di scheda (rimovibile, di rete o hard disk) per la scansione. Non selezionate l’opzione “Cancella file dopo il decriptaggio” finché non siate sicuri al 100% che i file decriptati siano aperti correttamente.

  1. Cliccate sul link “Avvia scansione” e scegliete dove si trova il file criptato .crypt file (quel file per cui avete pure una copia non criptata).
  1. Poi il tool richiederà il file originale.
  1. Dopodiché, RannohDecryptor comincia a cercare tutti gli altri file con l’estensione “.crypt” e tenta di decriptare quelli che pesano meno del vostro originale. Più grande è il file che avete fornito all’utility, più file verranno decriptati.

Preparatevi in anticipo!

Meglio non sfidare il destino e prevenire in anticipo che CryptXXX infetti il vostro PC. Ad oggi il nostro tool funziona, ma presto i criminali possono rilasciare una nuova versione dello stesso ransomware che potrebbe essere più intelligente. Molto spesso i delinquenti cambiano il codice del malware in maniera tale che diventa impossibile decriptare i file infetti. Per esempio, è ciò che è già avvenuto con il ransomware TeslaCrypt: una volta esisteva un utility tool che curava con successo i file criptati ma che adesso è quasi inutile.

Ricordiamo inoltre che CryptXXX sottrae dati personali e denaro: condividerli con i criminali è certamente una cattiva idea.

Per proteggervi, seguite queste regole di cybersicurezza!

  1. Fate il backup con regolarità.
  1. Installate tutti gli aggiornamenti necessari per il vostro sistema operativo e i browser. L’exploit kit Angler, usato da CryptXXX, approfitta delle vulnerabilità del software per scaricare e installare il ransomware.
  1. Installate un’adeguata soluzione di sicurezza. Kaspersky Internet Security fornisce una protezione multistrato dal ransomware. Kaspersky Total Security può completare la protezione generale con il backup automatico.

Per maggiori informazioni sulla protezione dal ransomware, cliccate qui.

Consigli