TeslaCrypt: come recuperare i files crittografati
Per chi non lo sapesse, un ransomware è un tipo di malware (malicious software – un virus per computer, ossia un software dannoso) che richiede un riscatto (ransom in inglese) da pagare per rimuovere la limitazione di accesso al sistema infettato. Le forme più comuni di ransomware cifrano i file dell’utente, chiedendo di pagare, spesso cifre nell’ordine di un migliaio di euro, per ripristinare tali file.
La crittografia dei files infetti si basa solitamente sul principio della codifica RSA con coppia chiave pubblica/privata: alla vittima viene rilasciata la chiave pubblica, con la promessa di ottenere dal “rapitore” (che è l’unico a conoscerla) quella privata, necessaria per ripristinare i file.
L’elevato numero di bit della codifica utilizzata (ad es. 1024) rende spesso impossibile recuperare in autonomia la chiave privata mediante sistemi distribuiti, dove una serie di elaboratori tentano di individuare tale chiave a partire da quella pubblica e da un file infetto da utilizzare come campione.
Oltretutto, il pagamento avviene tramite bitcoin e non è pertanto tracciabile (in quanto viene effettuata una transazione peer-to-peer con il beneficiario senza intermediari), per cui non c’è nessuna garanzia del fatto che, a fronte del pagamento, il creatore del ransomware onori la promessa di consentirvi di recuperare i vostri file.
Alcune raccomandazioni preventive per evitare di ritrovarsi in una situazione del genere sono:
- effettuare sempre un backup dei vostri dati su un altro dispositivo (meglio se remoto)
- utilizzare un buon antivirus (Kaspersky, ESET, etc…) e tenerlo sempre aggiornato, acquistando una licenza laddove necessario
- evitare di aprire file provenienti da sorgenti sconosciute (email con mittenti e/o testo dubbi, siti web non affidabili, etc…)
TeslaCrypt è uno dei ransomware che negli ultimi mesi ha mietuto più vittime: distribuito in numerose varianti, può essere riconosciuto dalla schermata che restituisce all’utente una volta infettati i files (che è quella utilizzata per il presente articolo) e per le estensioni che vengono attribuite ai files infetti, alcune delle quali sono:
- .encrypted
- .ecc
- .ezz
- .exx
- .xxx
- .ttt
- .micro
- .mp3
Per diversi mesi, in particolare per le ultime 4 estensioni, non esisteva una soluzione, se non quella di chiedere aiuto “computazionale” su alcuni forum di supporto, nei quali diversi utenti mettono a disposizione i propri elaboratori per tentare di individuare la chiave privata che decodifica i vostri file.
Da oggi, tuttavia, grazie al supporto di utente conosciuto come BloodDolly, è possibile decodificare i file aventi uno di questi 4 tipi di estensioni utilizzando un software chiamato TeslaDecoder, che è scaricabile qui:
Al di là delle numerose funzionalità offerte, vediamo come funziona ad esempio la decodifica di un file .xxx, .ttt, .micro o .mp3 con tale software.
Una volta decompresso in una cartella qualsiasi il file .zip scaricato, è necessario lanciare il file TeslaDecoder.exe.
A questo punto, clicchiamo su “Set key” e, alla voce “Extension“, selezioniamo dal menu a discesa “.xxx, .ttt, .micro, .mp3“.
Clicchiamo infine su “Set key“. A questo punto, nella schermata principale del software si saranno attivate le seguenti voci:
- Decrypt folder: ripristina i file in una specifica cartella
- Decrypt all: ripristina tutti i file infetti presenti sul computer
- Decrypt list: ripristina una lista di file il cui nome è stato inserito in un file di testo da voi creato
Personalmente utilizzerei il primo per avere maggior controllo su quello che viene ripristinato o il secondo per essere sicuri di non tralasciare nessun file.
Una volta cliccato su uno di questi tre tasti vi verrà chiesto se, a seguito della decodifica, volete cancellare il file infetto e conservare solo quello ripristinato.
Questa è una decisione delicata, in quanto:
- se decidete di cancellare i file cifrati cliccando su “Sì“, qualora la decodifica non dovesse andare a buon fine per un qualsiasi motivo non avrete modo di riprovare
- se decidete di conservare anche i file cifrati cliccando su “No“, una volta verificata la corretta decodifica sarete costretti a cancellarli manualmente, e quando tali files sono sparsi in diverse cartelle diventa un’operazione alquanto noiosa e laboriosa.
Il mio personale consiglio è quello di provare a decodificare un file “campione” senza cancellare la versione cifrata (cliccando dunque su “No“) e, una volta verificata la bontà del file ripristinato, provvedere alla decodifica dei restanti cancellando le versioni infette, ripetendo l’operazione e cliccando su “Sì“.
In bocca al lupo!
1 Commento
Very informative blog.
I would like to thank you for the information.