Cybersecurity

Soluzione per il ransomware CryptXXX: si possono decriptare i file gratis

04 Maggio 2016

Ad aprile 2016 è comparso un nuovo virus della categoria dei ransomware ossia dei malware che criptano i dati, questo virus non ha un nome specifico, ma per il fatto che i file vengono cifrati con estensione .crypt è stato “battezzato” con il nome di CryptXXX.
 
Una delle caratteristiche di questo virus è che non si manifesta immediatamente, ma una volta infetto, il PC si comporta normalmente per un certo periodo di tempo e solo più tardi i file vengono cifrati e quindi diventano illeggibili.
Inoltre questo virus ruba anche eventuali bitcoin che risiedono sul computer.
 

Dopo l’infezione, l’utente viene avvisato in tre modi diversi:

  • viene creato un file di testo con le istruzioni per il riscatto;
  • viene modificato lo sfondo del PC con un’immagine che istruisce sul da farsi (ed essendo lo sfondo non può essere ignorata);
  • viene generata un pagina HTML e viene aperta in un browser in modo che l’utente possa capire come procedere per riprendere il possesso dei propri file.

 
Per fortuna però, esiste già una utility in grado di decryptare i file cifrati da questo malware.
L’utility è disponibile gratuitamente e si tratta di una rielaborazione di una utility già esistente nata per il ransomware Rannohe.
 
Ma prevenire è meglio che curare!
Anche se per questo virus ti puoi salvare, sappiamo benissimo che a causa delle migliaia di varianti disponibili avere lo strumento per contrastare tutte le versioni dei cryptovirus è impossibile, quindi è importante, anzi fondamentale, che tu giochi d’anticipo contro i ransomware.
Come? Con almeno 3 precauzioni:

  • facendo backup regolari, con qualche accorgimento specifico per tenere lontani i ransomware dalle tue copie di riserva come spiegato in un precedente articolo;
  • usando un antivirus sempre aggiornato che lavora in tempo reale;
  • installando un software specifico per la prevenzione dei cryptovirus, come Cryptoprevent.
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (5)
Iscriviti
Notificami
guest
5 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
mister no leggenda
mister no leggenda
5 anni fa

ciao a tutti: conoscete qualche tool per decifrare i files infettati dal CTB Locker virus? il virus è stato già rimosso dal mio pc, ma tutti i files (ora presenti con estensione jmbwxqd) sono ovviamente illeggibili.
Suggerimenti? Ho conservato i files nella speranza che possa un giorno trovare uno strumento per decriptarli.

Giorgio Poiani
Giorgio Poiani
5 anni fa

Buongiorno, un mio cliente ha beccato questo ransomware in data 5 Maggio.
Purtroppo non ho capito da quale client sia partito, dato che i file criptati (estensione .crypt) e le relative istruzioni risiedevano solo in rete su un server. Ho passato tutti i client e i server scansionandoli con Malwarebytes, nessuna infezione da parte di ransomware, lato client nessun file criptato in locale e nessuna istruzione, copie shadow non eliminate ma esistenti.
Sembrerebbe che CrypXXX sia partito e anche scomparso nel nulla, dato che solo 1 server è stato cryptato (circa al 70% di quello che condivide), gli altri server non sono stati toccati.
In passato questo cliente ha avuto altri problemi con ransomware e venivano criptati file residenti in cartelle condivise di più server ed inoltre ho sempre individuato il client dal quale partiva il tutto…in questo caso invece niente da fare.
Ho comunque recuperato il tutto da backup su nas.
E’ la quarta volta nel giro di poco più di un anno che questo cliente si becca un ransomware, è anche per quello che da circa un mese abbiamo installato Webroot su tutta la rete…ma in quest’ultimo caso, come per l’antivirus montato precedentemente, non è stato efficace .

Fabiano Nessi
Fabiano Nessi
5 anni fa

Ho preso questo virus ho scaricato il programma, ma quando carico il file originale dice che i files non sono uguali e non fa nulla, ho provato con varie estensioni, sul disco sulla chiavetta su un altro pc, ma non funziona, tu l’hai provato, dove sbaglio?
ciao grazie

Claudio Panerai
Claudio Panerai
5 anni fa

@Leggenda: ti posso consigliare di provare a leggere questi post:
https://www.achab.it/?AC748ba61
https://www.achab.it/?AC2b3bf31

Claudio Panerai
Claudio Panerai
5 anni fa

@Poiani: purtroppo constatiamo tutti che l’antivirus perfetto e infallibile non esiste, e l’unica forma possibile di salvezza è la prevenzione.
Spero che almeno i tuoi backup siano salvi.