Teslacrypt si alte campanii ransomware pentru care există soluții de recuperare a fișierelor

18

Ransomware-ul este un malware (software malițios) ce împiedică accesul la fișiere, sau chiar la întregul sistem informatic infectat, până la plata unei „recompense” (ransom).

 

Acest tip de malware se caracterizează printr-o evoluție rapidă în ultimii ani, atât în ceea ce privește numărul cât și diversitatea și complexitatea campaniilor bazate pe acesta.

 

Astfel, în prezent ransomware-ul este una dintre cele mai supărătoare forme de malware, întrucât produce pagube financiare directe, iar de cele mai multe ori fișierele criptate de malware nu pot fi decriptate, deoarece algoritmii de criptare utilizați nu au vulnerabilități evidente/cunoscute, iar cheile de decriptare sunt păstrate pe servere inaccesibile victimelor.

 

Totuși, în ultima perioadă s-au înregistrat și cazuri de campanii ransomware pentru care s-au găsit posibilități de recuperare a datelor, rândurile care urmează fiind dedicate întocmai acestor „povești cu final fericit”.

 

Cel mai recent caz de campanie ransomware pentru care s-au identificat soluții de recuperare a fișierelor criptate este TeslaCrypt.

 

Acesta este totodată și un caz atipic, în sensul că însăși indivizii din spatele acestei campanii au făcut publică o cheie universală de decriptare (master key) cu ajutorul căreia pot fi decriptate toate fișierele criptate de TeslaCrypt. Conform cercetătorului din cadrul companiei ESET care a interacționat cu atacatorii prin intermediul canalelor de comunicare utilizate de aceștia (Dark Web), aceștia au admis faptul că au oprit operațiunea și au decis să ofere o cheie de decriptare pentru toate victimele.

 

În prezent, companiile producătoare de soluții de securitate cibernetică și diferiți cercetători au creat unelte dedicate decriptării fișierelor afectate de TeslaCrypt. Unele dintre aceste unelte se pot obține de la următoarele adrese:

  • http://download.eset.com/special/ESETTeslaCryptDecryptor.exe;
  • http://blogs.cisco.com/security/talos/teslacrypt/;
  • http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.exe;
  • http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip.

 

De asemenea,  pentru campania ransomware intitulată helpme@freespeechmail.org,  care a făcut destule victime și în România în ultima jumătate a anului 2015, au fost identificate soluții de recuperare a fișierelor. Mai multe detalii regăsiți în articolul CERT-RO pe această temă.

 

Una dintre cele mai complete resurse publice referitoare la campaniile ransomware o constituie forumul de discuții din cadrul portalului web www.bleepingcomputer.com, conținând informații detaliate despre fiecare campanie în parte și eventuale unelte existente de recuperare a fișierelor:

 

În cazul în care ați fost infectat și nu ați identificat varianta de ransomware prezentă pe stația dvs., se recomandă folosirea site-ului id-ransomware.malwarehunterteam.com. Aici poți urca mesajul primit de la atacatori sau o variantă de fișier criptat. Ulterior se interoghează o bază de date cu 72 de variante de ransomware. După apariția rezultatului, această unealtă te va ghida mai departe în demersul tău de dezinfectare, dacă există o soluție pentru versiunea respectivă.

 

Echipa CERT-RO recomandă utilizatorilor și organizațiilor din România consultarea și implementarea recomandărilor din „Ghidul privind combaterea amenințărilor informatice de tip ransomware” elaborat de CERT-RO, disponibil la adresa 

 

Πηγή: CERT-RO