Aggiornamenti recenti Settembre 9th, 2025 11:43 AM
Lug 11, 2016 Marco Schiaffino 0
Nella maggior parte dei casi le chiavi crittografiche sono generate attraverso schemi predefiniti o (più raramente) sono integrate nel codice del malware. Risultato: attraverso il lavoro degli analisti antivirus è possibile ricostruire il metodo usato per generare la chiave e, di conseguenza, trovare un modo per “liberare” i file.
Le soluzioni variano a seconda del malware e comprendono tecniche per ricostruire la password per la decodifica, stratagemmi per recuperare i file originali e tool gratuiti sviluppati dai produttori di antivirus per bloccare l’azione dei ransomware o decifrare i file crittografati.
Purtroppo, però, anche i pirati informatici sono in grado di imparare dai loro errori e gli strumenti anti-ransomware, di solito, non hanno vita lunga. A qualche settimana dal rilascio di un tool, fa invariabilmente la sua comparsa una versione aggiornata del ransomware che utilizza una nuova tecnica per aggirare le contromisure.
Una tipologia di strumenti è quella che impedisce l’azione dei ransomware. È la strada battuta da BitDefender, che ha messo a disposizione un “vaccino” in grado di bloccare alcuni tipi di ransomware. Lo strumento, in pratica, sfrutta una falla nella procedura di installazione di alcuni ransomware (tra cui CTB-Locker e Locky) per bloccarli sul nascere. L’efficacia di questo approccio, naturalmente, viene meno quando i criminali correggono i loro malware per aggirare le difese.
BitDefender ha realizzato strumenti mirati per bloccare l’installazione di alcuni ransomware. Nel caso di CryptoLocker, però, i criminali hanno corretto la falla che permetteva il funzionamento del “vaccino” e la società antivirus lo ha ritirato.
Se invece ci si trova nella condizione di avere già subito l’attacco ed essersi ritrovati con i file cifrati, la prima cosa da fare è cominciare a spulciare Internet per scoprire se ci sia una soluzione a portata di mano.
Gli strumenti dedicati, come accennato, non hanno vita lunga. Questo non significa però che non siano una soluzione praticabile. Anche perché agli aggiornamenti dei malware corrisponde, spesso e volentieri, il corrispondente aggiornamento per il decrypter.
Il record, in questo campo, spetta senza dubbio a CryptXXX. Il malware è stato aggiornato dai suoi autori dopo il rilascio da parte di Kaspersky di un tool per la decodifica dei file, ma sono bastati una manciata di giorni perché gli analisti trovassero la contromossa per scardinare nuovamente il sistema di crittografia del ransomware. L’azienda antivirus russa mette a disposizione, dalla stessa pagina Web, un tool simile per CoinVault.
Sul sito di Dr.Web è possibile trovare un elenco dei ransomware per cui sono disponibili strumenti di decodifica, ma l’azienda offre il servizio gratuitamente solo ai suoi clienti. L’elenco completo dei ransomware “trattati” da Dr. Web comprende BAT.Encoder; Trojan.Encoder (nelle versioni 94; 293; 398; 556; 741; 567; 686; 858; 2843; 2667; 3953) Linux.Encoder e Mac.Trojan.KeRanger.2.
Il sito di Dr. Web riporta addirittura una stima delle possibilità di recupero dei file per ogni tipo di ransomware
L’offerta maggiore di strumenti anti-ransomware è offerta dall’austriaca Emsisoft, che mette a disposizione un gran numero di tool gratuiti per alcuni dei più diffusi ransomware. Tra questi ci sono 777; AutoLocky, Numecod; DMA Locker (1 e 2) ; HydraCrypt; CrypBoss; Gomasom; LeChiffre; KeyBTC; Radamant; CryptInfinite; PClock; CryptoDefense e Harasom. Non tutti gli strumenti garantiscono il risultato e, in alcuni casi, integrano una funzione di test che permette di capire se siano effettivamente in grado di decodificare i file.
Se su Internet non è disponibile un tool dedicato, non scartiamo a priori l’ipotesi che esista una soluzione, magari anache più semplice. Nel caso di Manamecrypt, un ransomware comparso di recente, gli analisti si sono resi conto abbastanza velocemente che la soluzione è a portata di mano. Il malware, infatti, utilizza come password una combinazione tra il nome dell’archivio cifrato e il nome utente del PC infetto.
I file sono crittografati, ma la password per sbloccarli si ottiene facilmente combinando il nome del file RAR e quello dell’utente Windows.
Gen 18, 2019 0
Set 09, 2025 0
Set 08, 2025 0
Set 08, 2025 0
Set 05, 2025 0
Gen 18, 2019 0
Set 09, 2025 0
Set 08, 2025 0
Set 08, 2025 0
Set 05, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 09, 2025 0
I ricercatori di Arctic Wolf hanno scoperto GPUGate, una...Set 08, 2025 0
I ricercatori di Security Bridge hanno scoperto che una...Set 08, 2025 0
La scorsa settimana il CERT-AGID ha rilevato 79 campagne...Set 05, 2025 0
Il governo degli Stati Uniti sta offrendo fino a 10...Set 03, 2025 0
Appena rilasciato e già preso di mira dagli attaccanti:...