In vita e morte del ransomware CryptoNar, sconfitto dopo due giorni di diffusione.

Questa settimana è stata individuata in diffusione una nuova versione del ransomware CryptoJocker, che ha registrato non poche vittime. La buona notizia è che è stato rilasciato molto velocemente un tool di decriptazione gratuito, messo a disposizione delle vittime che vogliano riportare in chiaro i propri file senza pagare alcun riscatto. 

La versione in diffusione si chiama CryptoNar e pare avere, a prima vista, una distribuzione ridottissima, quasi nulla. Nonostante questo, in meno di due giorni ha registrato oltre 100 vittime, quindi alcuni ricercatori di sicurezza hanno optato per studiarne l'algoritmo di criptazione in cerca di punti deboli. Si deve al ricercatore Michel Gillespie la creazione, particolarmente celere, del decryptor gratuito per questo ransomware. 

Che cosa fa CryptoNar?

Quando CryptoNar cripta i file delle vittime, esegue la criptazione in maniera diversa a seconda del tipo di file da criptare. Se il file target ha estensione .txt o .md, il ransomware cripterà l'intero file e aggiungerà l'estensione .fully.cryptoNar al nome del file. Di tutti gli altri tipi di file cripta soltanto i primi 1.024 byte: in questi casi l'estensione aggiunta al nome dei file sarà partially.cryptoNar. 

Fonte: bleepingcomputer.com

Terminata la criptazione, CryptoNar invia la coppia di chiavi pubblica/privata all'attaccante via email.

Fonte: bleepingcomputer.com

La nota di riscatto

La nota di riscatto altro non è che un file .txt, rinominato CRYPTONAR RECOVERY INFORMATION.txt: richiede alla vittima di inviare 200 dollari statunitensi in Bitcoin ad uno specifico indirizzo Bitcoin indicato nella nota stessa. La nota richiede alla vittima di indicare l'indirizzo email e il numero ID nel campo "extra note" della transazione di Bitcoin. 

Fonte: bleepingcomputer.com

A questo punto verrà lanciato un decryptor, che però non eseguirà alcuna operazione fino a quando la vittima non inserirà la chiave privata (che, si suppone, l'attaccante invii una volta ricevuto il pagamento del riscatto). 

Fonte: bleepingcomputer.com

Ad oggi comunque nessuna delle vittime ha confermato di aver ricevuto il decrypto o supporto dall'attaccante. Poco importa comunque, dato che è già disponibile un tool gratuito per riportare in chiaro i file.

Il decryptor gratuito*

Come detto, il ricercatore di sicurezza Michael Gillespie è stato capace di creare un decryptor gratuito per il ransomware CryptoNar, capace di riportare in chiaro i file delle vittime. Per usare il decryptor è necessario avere un file criptato  il suo originale corrispondente, quindi si dovrà scaricare il decryptor dal sito bleepingcomputer.com. Consigliamo di usare, come coppia di file criptato/non criptato file di tipo comune come .jpg, .png, .pdf, .doc, .xls ecc...

Una volta scaricato il decryptor, avvialo e seleziona "Settings", quindi "Brute Forcer". Una volta nello strumento di brute forcing, seleziona entrambi i file richiesti, quindi fai clic su Stars. Il decryptor userà i file che hai selezionato per individuare, tramite brute forcing, la chiave di decriptazione. Una volta trovato un risultato, chiudi la schermata del Brute Forcer, quindi carica la chiave trovata. Ora fai clic su Select Directory, seleziona il drive :C e premi il bottone Decrypt. 

Fonte: bleepingcomputer.com

*questo articolo contiene solo un suggerimento. Per quanto la fonte sia particolarmente affidabile, non possiamo garantire il recupero completo dei file.