giovedì 1 giugno 2017

Il Ransomware PEC 2017 "si è suicidato": disponibile il tool di decriptazione gratuito


NB: in fondo all'articolo è disponibile il tool di decriptazione gratuito. Non possiamo garantire il totale recupero dei file. Non ci assumiamo responsabilità di eventuali danni ai file o alla macchina. In ogni caso svariati test hanno avuto esito positivo. 


Tutto è bene quel che finisce bene, in questo caso è del tutto corretto dirlo: tempo fa vi abbiamo illustrato il ransomware PEC 2017, pensato appositamente per colpire le aziende italiane. Tutto il ransomware era "italianissimo".

Ricordate?
Il ransomware si diffonde tramite allegati email: finti (ma molto realistici) curricula, inviati a nome di persone (di cui una realmente esistente) come  “Floriana Fallico” o “Navia Ferrara” sono finite nelle caselle email di molte aziende (e non solo).  Il documento richiede poi l'abilitazione della macro per essere visualizzato: questa azione è il via libera all'exploit della vulnerabilità CVE-2017-0199 e quindi all'avvio del processo di criptazione. 


Un analisi più dettagliata del ransomware PEC 2017 è disponibile qui.

Che cosa è successo?
Fino a poco tempo fa i delinquenti chiedevano il pagamento di un riscatto a seguito di comunicazione con la mail pec.clean@protonmail.com. Una volta pagato il riscatto si sarebbe potuto rintracciare e scaricare il tool di decriptazione all'indirizzo (nel Dark Web) http://ztjxt7rzqj74lsvf.onion, accessibile via Tor. 

Ora però non è più così: ci sono stati due importanti passaggi. 

1. All'improvviso, al posto del sito dal quale scaricare il tool una volta pagato il riscatto, era comparsa la pagina sotto.

Il click sul link non faceva altro che scaricare il file pecdecrypt.exe: è il tool di decriptazione. Basta eseguirlo, inserire l'Identificativo Univoco (quella serie di caratteri che identifica la singola vittima e la singola infezione) e tutti i file criptati vengono gratuitamente decifrati. 

2. Pochi giorni dopo, la stessa pagina è nuovamente mutata ed è sparito il link per il download del tool.

Fortuna vuole che il decryptor sia comunque ancora disponibile (e lo sarà anche in caso di chiusura della pagina all'IP 104.250.127.148) grazie al Web Archive: qui è disponibile il tool di decriptazione. 

Nessun commento:

Posta un commento