Potete notare tracce di CTB-Locker in tutto Polyglot. La sua interfaccia richiama in maniera assurda quella del vecchio Trojan. Cambia lo sfondo del desktop delle vittime nello stesso modo e, proprio come CTB-Locker, consente alle vittime di decifrare gratuitamente cinque file per provare che questi possono essere decifrati.<\/p>\n
Anche le istruzioni di Polyglot per le vittime sono identiche a quelle di CTB-Locker (il testo sembra essere stato copiato e incollato). Anche la finestra \u201cRichiesta non riuscita\u201d che appare nel caso in cui non ci sia connessione a Internet sembra essere la stessa.<\/p>\n
Anche gli algoritmi di crittografia che utilizza Polyglot sono gli stessi (e sono abbastanza forti).<\/p>\n Polyglot viene inviato principalmente tramite spam (le lettere contengono link dannosi che reindirizzano presumibilmente a documenti importanti). Ovviamente, non ci sono documenti (si tratta solo di un archivio con file maligni eseguibili). Una volta installato, Polyglot si connette con il server command and control per inviare le informazioni sul PC infetto e gestire il ransom. Nel nostro caso, ha richiesto 0.7 bitcoin che equivalgono a circa 320 dollari.<\/p>\n Forse l\u2019unica differenza a livello visivo tra CTB-Locker e il suo nuovo clone \u00e8 il fatto che MarsJoke\/Polyglot lascia i file criptati con le loro estensioni originali, mentre CTB-Locker cambia l\u2019estensione (in genere .ctbl o .ctb2).<\/p>\n Nonostante la somiglianza apparente tra Polyglot e CTB-locker, si tratta di due tipi di malware completamente diversi. Non condividono quasi nessun codice. I nostri esperti pensano che imitando l\u2019aspetto di CTB-Locker, i creatori di Polyglot stessero cercando di portare i ricercatori sulla pista sbagliata.<\/p>\n Come saprete, non si conosce un modo per decifrare i file criptati da CTB-Locker senza pagare il ransom. Ma di nuovo, Polyglot e CTB-Locker non sono la stessa cosa. Fortunatamente, i creatori di Polyglot hanno commesso un errore con il generatore di chiavi, e questo ha permesso ai ricercatori di Kaspersky Lab di ideare una soluzione (uno strumento gratuito in grado di decifrare tutti i file danneggiati).<\/p>\n Per decifrare i file criptati da Polyglot\/MarsJoke, scaricate e installate lo strumento gratuito RannohDecryptor (versione 1.9.3.0 o una pi\u00f9 recente) dal sito noransom.kaspersky.com<\/a>. I vostri file verranno ripristinati.<\/p>\n A dire la verit\u00e0, siamo stati fortunati con Polyglot\/MarsJoke. I creatori del malware stanno costantemente adattando e migliorando le loro creazioni. Ad esempio, dopo che abbiamo risolto il ransomware CryptXXX<\/a>\u00a0per ben tre volte, il suo creatore ha ritoccato l\u2019algoritmo della crittografia in modo tale che i nostri strumenti non potessero gestirlo. Forse il creatore di Polyglot prover\u00e0 la stessa impresa. Morale della favola: non potete fare affidamento su uno strumento di decifratura reso disponibile da ogni\u00a0ransomware in cui vi imbattete.<\/p>\n![\"MarsJoke:](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/10\/05233423\/polyglot-comparison-screen-1024x335.png\")
<\/a><\/p>\n![\"MarsJoke:](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/10\/05233422\/polyglot-comparison-screen2-1024x336.png\")
<\/a><\/p>\n