9 novembre 2015

Gli specialisti dell'azienda antivirus Doctor Web hanno sviluppato una tecnica per decriptare file colpiti dall'attività del pericoloso programma Trojan.Encoder.2843 che gli utenti conoscono come il cryptolocker "Vault".

Questa versione del cryptolocker, denominata secondo la classificazione Dr.Web il Trojan.Encoder.2843, viene propagata attivamente dagli hacker tramite messaggi di posta elettronica. Alle email è allegato un piccolo file contenente uno script scritto nel linguaggio JavaScript. Questo file estrae da sé un'applicazione la quale esegue tutte le altre azioni necessarie per il funzionamento del cryptolocker. Questa versione del trojan cryptolocker si diffonde dal 2 novembre 2015.

Il principio di funzionamento di questo programma malevolo è molto interessante. Nel registro di sistema di Windows viene scritta una libreria dinamica cifrata (.DLL) e nel processo explorer.exe in esecuzione viene incorporato un piccolo codice che legge il file dal registro nella memoria, lo decifra e gli dà il controllo.

Il Trojan.Encoder.2843 conserva una lista dei file da cifrare anche nel registro di sistema e per la criptazione di ciascuno dei file impiega una chiave unica costituita da lettere maiuscole dell'alfabeto latino. I file vengono cifrati con utilizzo degli algoritmi Blowfish-ECB, la chiave di sessione viene cifrata con utilizzo di RSA tramite l'interfaccia di CryptoAPI. A ciascuno file criptato viene assegnata l'estensione .vault.

Gli specialisti Doctor Web hanno sviluppato un'apposita tecnica che in molti casi permette di decriptare i file colpiti da questo programma trojan. Se siete vittima del programma malevolo Trojan.Encoder.2843, utilizzate le seguenti indicazioni:

• fate una relativa denuncia alla polizia;
• in nessun caso provate a reinstallare il sistema operativo, di "ottimizzarlo" o di "ripulirlo" utilizzando qualche utility;
• non eliminate alcun file sul computer;
• non provate a ripristinare i file cifrati in modo autonomo;
• rivolgetevi al servizio di supporto tecnico Doctor Web (questo servizio è gratis per gli utenti delle licenze commerciali Dr.Web);
• allegate al ticket qualsiasi file criptato dal trojan;
• attendete una risposta di un tecnico del supporto; siccome abbiamo una grande quantità di richieste, l'attesa potrebbe richiedere un certo tempo.

Vi ricordiamo che i servizi di decriptazione file vengono forniti gratis soltanto ai titolari delle licenze commerciali dei prodotti antivirus Dr.Web. L'azienda Doctor Web non garantisce una completa decriptazione di tutti i file colpiti dall'attività dei cryptolocker, però i nostri specialisti faranno ogni sforzo per salvare le informazioni criptate.