CryptoHost e Petya Ransomware: strumenti per il ripristino

Tempo di lettura: 2 minuti
Cominciamo la settimana con due ottime notizie: disponibili gli strumenti per il ripristino e la de-crittazione dei file crittati per CryptoHost e per il temibile Petya Ransomware (ne parlavamo qui:  Petya Ransomware: temibile e diverso dai soliti ransom)

CryptoHost

Bleepingcomputer ci informa della capacità di poter recuperare i propri file SENZA pagare alcun riscatto in BitCoin a dei criminali. Questo nuovo ransomware non critta direttamente i file dell’utente, bensì li trasferisce in un archivio compresso protetto da password composto da 41 caratteri, salvato nella cartella Roaming sotto AppData.

Come recuperare i file

In questo caso è più semplice del previsto: è stato sviluppato un key generator che ci permette di creare la password, prima di questo è necessario stoppare il processo, tramite Task Manager o Gestione Attività, chiamato cryptohost.exe, quindi rechiamoci nel percorso AppDataRoaming e cerchiamo il file compresso.
Prima, scarichiamo ed installiamo (se non lo abbiamo già) 7zip, il quale ci servirà per la de-compressione; scegliamo di estrarre, tramite il menù contestuale, il contenuto del file tramite 7zip e, quando richiesto, inseriamo la password che abbiamo ottenuto tramite il key generator.

Grazie a  Michael Gillespie per lo strumento key generator.

Fonte: CryptoHost Decrypted: Locks files in a password protected RAR File

Petya Ransomware: il recupero

Per questo ransomware sono già state spese alcune parole e ne è già stato spiegato il funzionamento, come indicato in questo articolo Petya Ransomware: temibile e diverso dai soliti ransom
Concentriamoci quindi sul recupero effettivo dei file: in questo caso vi è qualche passaggio da fare, in quanto è necessario collegare il proprio disco rigido ad un altro computer, utilizzando una dock station USB. Dopo aver collegato il disco, scarichiamo questo strumento Petya Sector Extractor il quale individuerà il disco infetto e ci fornirà due dati necessari in seguito, disponibili dalla voce Copy Sector e Copy Nonce (come da immagine).

In seguito rechiamoci nel sito https://petya-pay-no-ransom.herokuapp.com ove dovremo inserire prima il codice Base64 Encoded 512 bytes e nel box sottostante il codice relativo a Base64 encoded 8 bytes nonce, quindi inviando i dati comincerà il processo di creazione della password (ci vorrà qualche minuto), la quale poi potremo inserire nella richiesta di riscatto che visualizziamo in avvio dopo l’infezione. 
Grazie a leostone e a Fabian Wosar per gli strumenti
Elvis
Seguimi
(Visited 81 times, 1 visits today)

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!