CryptoHost
Bleepingcomputer ci informa della capacità di poter recuperare i propri file SENZA pagare alcun riscatto in BitCoin a dei criminali. Questo nuovo ransomware non critta direttamente i file dell’utente, bensì li trasferisce in un archivio compresso protetto da password composto da 41 caratteri, salvato nella cartella Roaming sotto AppData.
Come recuperare i file
In questo caso è più semplice del previsto: è stato sviluppato un key generator che ci permette di creare la password, prima di questo è necessario stoppare il processo, tramite Task Manager o Gestione Attività, chiamato cryptohost.exe, quindi rechiamoci nel percorso AppDataRoaming e cerchiamo il file compresso.
Prima, scarichiamo ed installiamo (se non lo abbiamo già) 7zip, il quale ci servirà per la de-compressione; scegliamo di estrarre, tramite il menù contestuale, il contenuto del file tramite 7zip e, quando richiesto, inseriamo la password che abbiamo ottenuto tramite il key generator.
Grazie a Michael Gillespie per lo strumento key generator.
Fonte: CryptoHost Decrypted: Locks files in a password protected RAR File
Petya Ransomware: il recupero
Per questo ransomware sono già state spese alcune parole e ne è già stato spiegato il funzionamento, come indicato in questo articolo Petya Ransomware: temibile e diverso dai soliti ransom
Concentriamoci quindi sul recupero effettivo dei file: in questo caso vi è qualche passaggio da fare, in quanto è necessario collegare il proprio disco rigido ad un altro computer, utilizzando una dock station USB. Dopo aver collegato il disco, scarichiamo questo strumento Petya Sector Extractor il quale individuerà il disco infetto e ci fornirà due dati necessari in seguito, disponibili dalla voce Copy Sector e Copy Nonce (come da immagine).
