Aggiornamenti recenti Gennaio 26th, 2023 2:30 PM
Lug 11, 2016 Marco Schiaffino 0
Nella maggior parte dei casi le chiavi crittografiche sono generate attraverso schemi predefiniti o (più raramente) sono integrate nel codice del malware. Risultato: attraverso il lavoro degli analisti antivirus è possibile ricostruire il metodo usato per generare la chiave e, di conseguenza, trovare un modo per “liberare” i file.
Le soluzioni variano a seconda del malware e comprendono tecniche per ricostruire la password per la decodifica, stratagemmi per recuperare i file originali e tool gratuiti sviluppati dai produttori di antivirus per bloccare l’azione dei ransomware o decifrare i file crittografati.
Purtroppo, però, anche i pirati informatici sono in grado di imparare dai loro errori e gli strumenti anti-ransomware, di solito, non hanno vita lunga. A qualche settimana dal rilascio di un tool, fa invariabilmente la sua comparsa una versione aggiornata del ransomware che utilizza una nuova tecnica per aggirare le contromisure.
Una tipologia di strumenti è quella che impedisce l’azione dei ransomware. È la strada battuta da BitDefender, che ha messo a disposizione un “vaccino” in grado di bloccare alcuni tipi di ransomware. Lo strumento, in pratica, sfrutta una falla nella procedura di installazione di alcuni ransomware (tra cui CTB-Locker e Locky) per bloccarli sul nascere. L’efficacia di questo approccio, naturalmente, viene meno quando i criminali correggono i loro malware per aggirare le difese.
BitDefender ha realizzato strumenti mirati per bloccare l’installazione di alcuni ransomware. Nel caso di CryptoLocker, però, i criminali hanno corretto la falla che permetteva il funzionamento del “vaccino” e la società antivirus lo ha ritirato.
Se invece ci si trova nella condizione di avere già subito l’attacco ed essersi ritrovati con i file cifrati, la prima cosa da fare è cominciare a spulciare Internet per scoprire se ci sia una soluzione a portata di mano.
Gli strumenti dedicati, come accennato, non hanno vita lunga. Questo non significa però che non siano una soluzione praticabile. Anche perché agli aggiornamenti dei malware corrisponde, spesso e volentieri, il corrispondente aggiornamento per il decrypter.
Il record, in questo campo, spetta senza dubbio a CryptXXX. Il malware è stato aggiornato dai suoi autori dopo il rilascio da parte di Kaspersky di un tool per la decodifica dei file, ma sono bastati una manciata di giorni perché gli analisti trovassero la contromossa per scardinare nuovamente il sistema di crittografia del ransomware. L’azienda antivirus russa mette a disposizione, dalla stessa pagina Web, un tool simile per CoinVault.
Sul sito di Dr.Web è possibile trovare un elenco dei ransomware per cui sono disponibili strumenti di decodifica, ma l’azienda offre il servizio gratuitamente solo ai suoi clienti. L’elenco completo dei ransomware “trattati” da Dr. Web comprende BAT.Encoder; Trojan.Encoder (nelle versioni 94; 293; 398; 556; 741; 567; 686; 858; 2843; 2667; 3953) Linux.Encoder e Mac.Trojan.KeRanger.2.
Il sito di Dr. Web riporta addirittura una stima delle possibilità di recupero dei file per ogni tipo di ransomware
L’offerta maggiore di strumenti anti-ransomware è offerta dall’austriaca Emsisoft, che mette a disposizione un gran numero di tool gratuiti per alcuni dei più diffusi ransomware. Tra questi ci sono 777; AutoLocky, Numecod; DMA Locker (1 e 2) ; HydraCrypt; CrypBoss; Gomasom; LeChiffre; KeyBTC; Radamant; CryptInfinite; PClock; CryptoDefense e Harasom. Non tutti gli strumenti garantiscono il risultato e, in alcuni casi, integrano una funzione di test che permette di capire se siano effettivamente in grado di decodificare i file.
Se su Internet non è disponibile un tool dedicato, non scartiamo a priori l’ipotesi che esista una soluzione, magari anache più semplice. Nel caso di Manamecrypt, un ransomware comparso di recente, gli analisti si sono resi conto abbastanza velocemente che la soluzione è a portata di mano. Il malware, infatti, utilizza come password una combinazione tra il nome dell’archivio cifrato e il nome utente del PC infetto.
I file sono crittografati, ma la password per sbloccarli si ottiene facilmente combinando il nome del file RAR e quello dell’utente Windows.
Gen 18, 2019 0
Gen 26, 2023 0
Gen 26, 2023 0
Gen 26, 2023 0
Gen 25, 2023 0
Gen 18, 2019 0
Gen 26, 2023 0
Gen 26, 2023 0
Gen 26, 2023 0
Gen 25, 2023 0
Gen 26, 2023 0
Unit 42, il Threat Intelligence Team di Palo Alto Networks...Gen 23, 2023 0
L’Attack Surface Management comprende...Gen 18, 2023 0
Non solo le imprese vengono colpite da attacchi...Gen 17, 2023 0
Da quando lo scorso novembre OpenAI ha rilasciato ChatGPT,...Gen 16, 2023 0
Negli ultimi anni il numero e la pericolosità delle...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Gen 26, 2023 0
Nel tentativo di ridurre gli attacchi a Excel, Microsoft...Gen 26, 2023 0
Kaspersky ha condiviso un’analisi che sottolinea le sfide...Gen 25, 2023 0
Eran Shimony e Omer Tsarfati, ricercatori dei CyberArk...Gen 25, 2023 0
NVIDIA ha annunciato la disponibilità di un nuovo...Gen 24, 2023 0
Nozomi Networks Labs ha pubblicato il nuovo OT/IoT Security...