Sommario

Questo tipo di trojan ransom viene rilasciato da altro malware o è scaricato da Internet. Visualizza un certo messaggio e informa l'utente che il sistema è bloccato. Per sbloccarlo nuovamente l'utente deve pagare una sorta di riscatto.

Se viene eseguito il trojan, compare il seguente messaggio:


 

Il malware ransom afferma che tutti i file locali sono stati crittati con una chiave 2048 PGP.
Si tratta infatti di un crittaggio RC4 e con i file originali disponibili (da backup o altra fonte) è possibile decriptare tutti i file.

Come si comporta il malware

Il trojan proviene da un altro malvare oppure si installa visitando siti web "maligni" e scaricando file da essi.

Fa una copia di se stesso nella seguente cartella:

C:\WINDOWS\system32\%random%.exe

Il malware ransom effettua le seguenti modifiche nel file di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\%random%.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "D8812EB1"="C:\\Documents and Settings\\%userprofile%\\Application Data\\%random%\\%random%.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 "DisableRegedit"=dword:00000001

Tutti i file presenti a livello locale sul sistema, ad eccezione di quelli in "Windows" e "Programma", saranno bloccati con il metodo RC4. Assumeranno la seguente sintassi:

locked-*original file name*.*4 random characters*

Fare riferimento a questo link per maggiori informazioni sul malware ransom.

Soluzione

Avira fornisce un tool di decrittaggio chiamato "Avira Ransom File Unlocker".

Avira Ransom File Unlocker" è un tool scritto in .NET 2.0 per decriptare i file criptati da un tipo di malware ransom che afferma che i file sono stati crittati con una chiave 2048 PGP. Si tratta infatti di un crittaggio RC4, quindi con i file originali disponibili (da backup o da altra fonte) è possibile decriptare tutti i file.


 

Il tool non modificherà o eliminerà i file crittati per evitare perdite di dati nel caso in cui la decrittazione non funzionasse a dovere a causa di una nuova variante del malware.

Per la decrittazione dei file, l'utente deve selezionare il file crittato dal disco rigido e la versione originale di questo file dal disco rigido o da un'altra fonte.

È fondamentale che la versione originale sia una copia esatta del file crittato prima che il sistema fosse infettato, altrimenti il tool non funziona correttamente.

Aggiornamento con la versione 1.0.1:
Si riceve ora un messaggio di errore se si sono aggiunti 2 file crittati o 2 file decrittati come "Locked file" e "Original file".

Download Avira Ransom File Unlocker