Ad aprile 2016 è stato rilasciato un nuovo ed ambizioso Trojan cryptor, conosciuto con il nome di CryptXXX e diffuso dai famigerati exploit kit Angler e Neutrino. I suoi creatori speravano che dopo la sua diffusione si sarebbero potuti rilassare sul divano, vedendo come i soldi passavano dalle tasche delle vittime ai loro portafogli di bitcoin. Ma le cose sono andate diversamente.
Un paio di giorni dopo la scoperta del Trojan CryptXXX, gli esperti di Kaspersky Lab hanno individuato un errore negli algoritmi di crittografia dei file di CryptXXX e quindi sono stati in grado di trovare una soluzione. Hanno creato uno strumento gratuito chiamato decryptor Rannoh per decifrare i file criptati da CryptXXX.
I criminali si sono dovuti alzare dai propri divani e hanno dovuto rimboccarsi le maniche per risolvere l’errore. Hanno iniziato a distribuire una nuova versione ma i nostri esperti hanno impiegato solo un paio di giorni per inventare una soluzione per la seconda versione di CryptXXX. Il decryptor Rannoh è stato aggiornato (e le vittime del Trojan hanno potuto decriptare ancora una volta i propri file senza pagare il riscatto).
#CryptXXX v2 can now be decrypted with our decryptor #noransom #ransomware #infosec https://t.co/XJZGaQK0E7 pic.twitter.com/3D1SmdiCeM
— Kaspersky (@kaspersky) May 13, 2016
Dal momento che anche la loro ultima versione era andata a monte, i criminali hanno smesso di rilassarsi e hanno creato una terza versione del loro ransomware, sperando che nessuno sarebbe stato in grado di creare un decryptor.
Ci sono quasi riusciti. Per un lungo periodo di tempo CryptXXX 3.0 è stato in grado di terrorizzare gli utenti di tutto il mondo, di criptare i loro file e di richiedere riscatti per averli indietro. È stato anche in grado di rubare le credenziali da diverse applicazioni.
La diffusione della nuova versione è iniziata a maggio e i nostri esperti credono che potrebbero esserci diverse centinaia di migliaia di utenti infetti. I prodotti di Kaspersky Lab hanno rilevato ed evitato circa 80.000 tentativi d’infezione da parte di CryptXXX v.3. Quasi un quarto di tutti gli attacchi avevano come obiettivo gli utenti degli Stati Uniti mentre Russia, Germania, Giappone, India e Canada costituivano il 28% dei tentativi di infezione.
Ma niente dura per sempre. Oggi siamo felici di annunciarvi che i nostri ricercatori sono riusciti a trovare una soluzione per la terza versione del trojan CryptXXX, quindi i file .crypt1, .crypt e .crypz possono essere decriptati ancora una volta. Abbiamo aggiunto il decriptaggio al Decryptor Rannoh, che potrete trovare sia sul nostro sito, sia su NoMoreRansom.org.
Qualora foste stati colpiti da una qualsiasi versione di CryptXXX, visitate uno dei siti appena menzionati, scaricate lo strumento e riavrete indietro i vostri file. I nostri strumenti sono gratuiti e possono aiutarvi a ripristinare i file criptati da molte versioni di Trojan, per questo se non pagate il riscatto ai criminali potrete evitare di spendere un bel po’ di denaro.
Anton Ivanov, esperto di sicurezza di Kaspersky Lab afferma che: “il consiglio che diamo sempre alle vittime delle diverse famiglie di ransomware è il seguente: anche se al momento non esiste uno strumento per la versione del malware che ha criptato i vostri file, non pagate il riscatto ai criminali. Salvate i file danneggiati e siate pazienti (la probabilità di avere presto uno strumento di decriptaggio è molto alta). Crediamo che il caso di CryptXXX v.3 ne sia una prova. Tanti specialisti di sicurezza nel mondo continuano a lavorare sodo per aiutare le vittime dei ransomware. Prima o poi verrà trovata una soluzione per la maggior parte dei ransomware”.
L’altro nostro consiglio è quello di pensare in maniera attiva, giocando d’anticipo con la protezione. È molto meglio non rischiare che i vostri file vengano danneggiati. Per evitare una situazione del genere, seguite questi due semplici passi:
1. Effettuate regolarmente un backup dei vostri dati su uno strumento estraibile che non sia connesso sempre al vostro computer.
2. Installate una buona soluzione di sicurezza. Ad esempio, recenti studi indipendenti hanno dimostrato che Kaspersky Internet Security è perfetto per combattere i ransomware.