CryptoHost e Petya Ransomware: strumenti per il ripristino

Cominciamo la settimana con due ottime notizie: disponibili gli strumenti per il ripristino e la de-crittazione dei file crittati per CryptoHost e per il temibile Petya Ransomware (ne parlavamo qui:  Petya Ransomware: temibile e diverso dai soliti ransom)

CryptoHost

Bleepingcomputer ci informa della capacità di poter recuperare i propri file SENZA pagare alcun riscatto in BitCoin a dei criminali. Questo nuovo ransomware non critta direttamente i file dell’utente, bensì li trasferisce in un archivio compresso protetto da password composto da 41 caratteri, salvato nella cartella Roaming sotto AppData.

Come recuperare i file

In questo caso è più semplice del previsto: è stato sviluppato un key generator che ci permette di creare la password, prima di questo è necessario stoppare il processo, tramite Task Manager o Gestione Attività, chiamato cryptohost.exe, quindi rechiamoci nel percorso AppDataRoaming e cerchiamo il file compresso.
Prima, scarichiamo ed installiamo (se non lo abbiamo già) 7zip, il quale ci servirà per la de-compressione; scegliamo di estrarre, tramite il menù contestuale, il contenuto del file tramite 7zip e, quando richiesto, inseriamo la password che abbiamo ottenuto tramite il key generator.

Grazie a  Michael Gillespie per lo strumento key generator.

Fonte: CryptoHost Decrypted: Locks files in a password protected RAR File

Petya Ransomware: il recupero

Per questo ransomware sono già state spese alcune parole e ne è già stato spiegato il funzionamento, come indicato in questo articolo Petya Ransomware: temibile e diverso dai soliti ransom
Concentriamoci quindi sul recupero effettivo dei file: in questo caso vi è qualche passaggio da fare, in quanto è necessario collegare il proprio disco rigido ad un altro computer, utilizzando una dock station USB. Dopo aver collegato il disco, scarichiamo questo strumento Petya Sector Extractor il quale individuerà il disco infetto e ci fornirà due dati necessari in seguito, disponibili dalla voce Copy Sector e Copy Nonce (come da immagine).

In seguito rechiamoci nel sito https://petya-pay-no-ransom.herokuapp.com ove dovremo inserire prima il codice Base64 Encoded 512 bytes e nel box sottostante il codice relativo a Base64 encoded 8 bytes nonce, quindi inviando i dati comincerà il processo di creazione della password (ci vorrà qualche minuto), la quale poi potremo inserire nella richiesta di riscatto che visualizziamo in avvio dopo l’infezione. 
Grazie a leostone e a Fabian Wosar per gli strumenti

Articoli Correlati

Come avviare una distro live di KUbuntu per salvare i propri dati

Come rimuovere Google Drive dall’Accesso Rapido

File JPG e PNG non associabili a nessuna app in Windows 11