Ransomware, decriptati Hydracrypt e UmbreCrypt

Altri due ransomware sono stati sconfitti grazie alla pubblicazione dei codici sorgente su Pastebin. Probabilmente una vendetta tra hacker o una defezione polemica.

I ransomware sono, ovviamente, tra i malware più odiati e non solo per la loro grande diffusione: l'idea che qualcuno possa chiedere un riscatto per restituirci dei dati che sarebbero legittimamente nostri è davvero indigesta.

Lo stesso deve aver pensato un ignoto "benefattore" che a dicembre dello scorso anno ha pubblicato su Pastebin il codice sorgente di CrypBoss, sottraendolo in qualche modo ai criminali che lo stavano sviluppando.

decrypter howto dragdrop
Fabian Wosar, il ricercatore che ha creato il software, ha fatto un bel lavoro: l'interfaccia è molto semplice da usare, ma bisogna dargli in pasto due file, uno criptato e uno no, perché riesca a trovare la chiave.

Il motivo del suo gesto è ignoto e le ipotesi più gettonate vanno dall'attacco di gruppo di cybercriminali avversario che iniziava a soffrire la concorrenza di un altro ransomware al litigio interno con membro che se ne va sbattendo la porta e pubblicando il codice.

Fabian Wosar, un ricercatore in forze alla società specializzata in sicurezza Emsisoft, ha quindi iniziato ad analizzare quanto rilasciato e dopo un bel po' di ore di lavoro è riuscito a forzare l'algoritmo di base, creando un software in grado di recuperare i dati criptati da Hydracrypt e UmbreCrypt (due varianti di ransomware derivate da CrypBoss e distribuite tramite il kit di Exploit Angler).

decryption key found
La schermata che ci fornisce la chiave ci ricorda che è possibile che non sia corretta, ma l'errore accade di rado.

Purtroppo, chi ha creato i due nuovi ransomware, ancora non molto diffusi ma che stavano rapidamente guadagnando spazio nella triste classifica dei malware più dannosi, ha commesso alcuni errori di programmazione che portano a un danneggiamento permanente degli ultimi 15 byte di ogni file criptato.

Nella stragrande maggioranza dei dati questo danno non inficia il recupero del file originale, ma in poche, sfortunate, circostanze alcuni file restano incompleti e non si riesce neanche ad aprirli.

Per questo, Fabian consiglia di usare il suo software, liberamente scaricabile dal sito di Emsisoft, con il beneficio del dubbio e di applicarlo a pochi file per volta in modo da minimizzare i rischi che la chiave venga calcolata su qui fatidici 15 byte errati.

Wosar ci avvisa che il processo è piuttosto lungo e laborioso e potrebbero esser necessari anche dei giorni prima di trovare la chiave giusta, a seconda di quanto è potente il computer che usiamo per la decodifica.