Grazie alla pubblicazione su Pastebin [WBM], da parte di qualche misterioso “Robin Hood”, della master key utilizzata dal ransomware Dharma – variante del ransomware Crysis – Kaspersky ed ESET hanno pubblicato oggi un tool per decifrare gratuitamente i documenti criptati dal ransomware Dharma, che nelle ultime settimane ha causato danni ai dati di migliaia di vittime cifrando i loro dati e chiedendo un riscatto in bitcoin.
Le società di antivirus hanno sostanzialmente testato questa master key e scoperto quindi come decifrare i file e i documenti cui il ransomware Dharma aggiunge l’estensione “.dharma” e un indirizzo di posta, secondo il formato “[nome file].[indirizzo email].dharma“. Gli indirizzi email indicati nei file criptati dal ransomware dharma sono diversi, ne annoveriamo alcuni:
.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma
Se vi chiedete come recuperare i documenti bloccati dal cryptovirus Dharma, avete al momento due alternative altrettanto valide.
RakhniDecryptor della società Kaspersky
Scaricate il tool RakhniDecryptor della società Kaspersky da questo link [WBM] e avviatelo, verificando (cliccando sul pulsante “About” in basso) che si tratti della versione 1.17.17.0 che supporta la decifratura dei file cifrati dal trojan Dharma.
Cliccate sul pulsante “Start scan” e selezionate, quando vi compare la finestra dove potete scorrere i file e le cartelle del vostro PC, un file cifrato che sia espressamente di tipo Word, Excel, PDF, musica o immagini.
A questo punto selezionate “Open” e il tool comincerà a cercare sul disco del PC e sulle condivisioni di rete i file cifrati dal criptovirus, decifrandoli uno a uno.
Crysis Decryptor della società ESET
In alternativa, scaricate il tool ESET Crysis Decryptor da questo link [WBM] e avviatelo. Il tool gratuito supporta permette di decifrare i file criptati da diverse versioni del ransomware Crysis e Dharma, con le estensioni “.xtbl”, “.crysis”, “.crypt”, “.lock”, “.crypted” e “.dharma”.
Il tool gratuito per decifrare i file prodotto da ESET funziona utilizzando i seguenti parametri da linea di comando:
INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma
Usage:
esetcrysisdecryptor.exe [options] <filename(s) or directory name(s)>Options:
/s – Silent mode.
/d – Debug mode.
/h or /? – Show usage.
Il tool non elimina i file criptati, come faccio a liberarmene una volta decifrati?
Una volta decifrati, se siete sicuri di non aver più necessità di mantenere i file criptati, potete utilizzare il tool gratuito Crypto Search per raccoglierli tutti in un’unica cartella e archiviarli o, eventualmente, eliminarli. Il tool, sviluppato da Michael Gillespie, è in grado di aggiornarsi automaticamente contattando il database di ID Ransomware per acquisire informazioni sulle estensioni e le caratteristiche dei file criptati, così da poterli identificare con precisione.
E i file criptati dalla versione Dharma con estensione .wallet’
Purtroppo Dharma si è aggiornato modificando la modalità con cifra i file, per questo motivo non è ancora possibile decifrare i file cifrati e rinominati in “.WALLET, come ad esempio il Nomefile.pdf.id-12896D77.[mission_inposible@aol.com].wallet. La speranza è che anche per questa variante qualcuno riesca a ottenere la master key e a pubblicarla, come avvenuto per le altre versioni del ransomware Dharma.
La fonte dell’articolo: Come decifrare gratuitamente i file criptati dal ransomware Dharma. è: Ransomware Blog.