Secondo la teoria della probabilità, di tanto in tanto devono succedere cose bizzarre: esiste una piccola possibilità che possa avvenire una stramberia e un infinito numero di cose o eventi che probabilmente definiremmo strani. A volte queste stranezze risultano davvero positive, come, per esempio, la notizia che i cybercriminali responsabili del ransomware TeslaCrypt hanno improvvisamente rilasciato la Master Key. Utilizzandola, chiunque può decriptare i file che erano stati criptati da tutte le versioni di TeslaCrypt. Che dire… wow!
Pare che, per una qualche ragione, i cybercriminali abbiano deciso d’interrompere la distribuzione di TeslaCrypt, il ransomware considerato fino a ora uno dei peggiori nel suo genere. Le campagne di distribuzione alle vittime di TeslaCrypt sono cambiate e il ransoware è stato sostituito da CryptXXX (per il quale Kaspersky Lab ha sviluppato una cura).
Quando gli esperti di sicurezza ESET se ne sono accorti, hanno deciso di utilizzare il sito di assistenza TOR di TeslaCrypt per chiedere se i cybercriminali potessero gentilmente rilasciare la Master key… e hanno acconsentito. Il sito di assistenza, adesso in disuso, mostra adesso la Master Key e scrive “Progetto concluso” e “ci dispiace”.
http://www.bleepstatic.com/images/news/ransomware/t/teslacrypt/teslacrypt-closed/teslacrypt-closed.png
Ma per l’utente informatico medio, la chiave è inutile senza dei codici. Ecco perché BloodDolly, utente di BleepingComputer che in precedenza aveva tentato di creare delle utility per TeslaCrypt, ha utilizzato la chiave per aggiornare il suo TeslaDecoder.
L’utility è piuttosto semplice da usare. Per decriptare i vostri file dovete inserire la chiave, selezionare l’estensione file che TeslaCrypt utilizzava per criptare i vostri file e quindi scegliere la cartella di destinazione con i file criptati, oppure semplicemente consentire all’utility di realizzare una scansione dell’intero hard disk.
Master decryption key released for #TeslaCrypt #ransomware via @threatpost https://t.co/YTqlZeYZ6z pic.twitter.com/I9wsK2cq3J
— Kaspersky (@kaspersky) May 19, 2016
Potete scaricare il TeslaDecoder di BloodDolly da BleepingComputer.
La fine di TeslaCrypt è una notizia particolarmente positiva perché, dal suo rilascio nel febbraio del 2015, i suoi metodi criptografici erano in costante evoluzione. Noi di Kaspersky Daily abbiamo trattato tre differenti versioni di TeslaCrypt.
Benché gli esperti fossero stati in grado di trovare la cura per la prima di esse, non erano riusciti a ottenere lo stesso risultato con la seconda e terza versione. Ma con il rilascio della Master Key, è finalmente diventato possibile.
#TeslaCrypt: Round Three – https://t.co/LAPH359dZp #ransomware pic.twitter.com/6m1MdgfmSz
— Kaspersky (@kaspersky) December 15, 2015
Sebbene siano piuttosto rari i casi in cui i criminali si rendano conto di aver provocato un reale danno alle persone e decidano di cambiare, speriamo che questo non sia l’ultima volta in cui i creatori di ransomware interrompano le loro malefatte e cerchino di rimediare al danno provocato. Esistono un sacco di ransomware diversi e una piccola possibilità che almeno un altro cybercriminale capisca il danno che sta facendo. Molte piccole possibilità, sommate fanno qualcosa di più grande, quindi le nostre speranze non sono infondate.