Un aiuto alle vittime dei ransomware Yatron e FortuneCrypt

8 Ott 2019

Il ransomware è stato e rimane una bella gatta da pelare per gli utenti e per gli esperti. Non è un compito semplice recuperare i file cifrati da un ransomware, in molti casi è impossibile. Abbiamo buone notizie per le vittime dei malware Yatron e FortuneCrypt: gli esperti di Kaspersky hanno sviluppato e pubblicato decryptor per i file cifrati da questi malware.

Le vittime dei ransomware Yatron e FortuneCrypt possono recuperare i loro file cifrati scaricando un decryptor dal sito No More Ransom.

Come decifrare i file cifrati da Yatron

Il ransomware Yatron si basa su un altro encryptor  chiamato Hidden Tear, il quale ha una storia insolita. Alcuni anni fa, il ricercatore turco Utku Sen crea questo malware per scopi educativi e di ricerca e carica il codice sorgente su Internet. L’eredità di questo software è ancora tra noi: gli esperti continuano a trovare nuovi ransomware basati su di esso e Yatron è solo un esempio.

Fortunatamente, sono state trovate delle vulnerabilità nel codice Yatron, e i nostri esperti ne hanno approfittato per creare un decryptor. Se vedete un’estensione *.yatron su qualsiasi file bloccato, andate sul sito web No More Ransom per scaricare uno strumento di decifrazione che recupererà i file.

 Come decifrare file cifrati da FortuneCrypt

Anche il secondo pacchetto di ransomware è lungi dall’essere un capolavoro, o dovremmo dire “hackerlavoro”?  Invece di usare linguaggi avanzati come C/C++ e Python, i creatori di FortuneCrypt lo hanno scritto in BlitzMax, un linguaggio abbastanza semplice molto simile al BASIC. Nella storia della nostra ricerca sul rilevamento di malware, non ci eravamo mai imbattuti in questo linguaggio.

I nostri esperti hanno scoperto che l’algoritmo di cifratura del malware è tutt’altro che perfetto, e questo ha permesso loro di sviluppare un decryptor . Come nel caso di Yatron, anche le vittime di FortuneCript possono scaricare uno strumento di decifrazione dal sito No More Ransom.

Cosa fare con i ransomware del vostro computer

Prima di tutto, non pagate il riscatto. Pagare incoraggia solo i criminali e non vi garantisce che sarete in grado di recuperare i vostri dati. Il modo migliore di agire è quello di andare sul sito No More Ransom creato da esperti di diverse società di sicurezza informatica e forze dell’ordine di  tutto il mondo, tra cui Kaspersky, Interpol e la polizia olandese per alleviare la condizione delle vittime di ransomware. Il sito contiene decryptor per centinaia di programmi ransomware, naturalmente sono tutti gratuiti.

Come proteggervi dagli estorsori che usano i ransomware

Infine, qualche suggerimento su come evitare di diventare una vittima:

  • Non scaricate programmi da siti sconosciuti e sospetti. Anche se il nome del programma sembra corretto, il pacchetto potrebbe contenere qualcosa di completamente diverso e pericoloso;
  • Non cliccate sui link e non aprite gli allegati dei file delle e-mail provenienti da destinatari sconosciuti. Se ricevete un messaggio sospetto e inaspettato da un amico o un collega, chiamatelo per assicurarvi che il file sia sicuro;
  • Assicuratevi di installare gli ultimi aggiornamenti per il vostro sistema operativo e per i programmi che utilizzate regolarmente. Questo vi aiuterà a evitare le vulnerabilità di cui si approfittano i creatori dei ransomware;
  • Installate un antivirus affidabile e non disattivatelo mai, anche quando certi programmi vi chiedono di farlo;
  • Eseguite il backup di dati importanti e salvateli su cloud, su una chiavetta USB o su un’unità esterna.