Dopo una lunga attesa finalmente le vittime del ransomware Dharma possono decriptare i file cifrati con estensione .WALLET. Alcuni mesi fa era già uscito un decryptor per il cryptovirus Dharma ma il software decifrava i file con estensione .WALLET, operazione adesso invece possibile gratuitamente e che sembra funzionare anche per alcuni file criptati con estensione .ONION, sempre della stessa famiglia Crysis di cui il trojan Dharma fa parte.
Alcuni giorni fa un misterioso utente del forum BleepingComputer ha pubblicato le chiavi di decifratura del ransomware Dharma tramite link su pastebin, che hanno permesso ai ricercatori di realizzare un decryptor gratuito perfettamente funzionante sui file .WALLET e sembra anche su alcuni file .ONION.
Se il vostro PC è stato vittima del ransomware Dharma e i vostri file sono stati “bloccati” cambiando il nome in [nomefile].[email].wallet (es. il file “tesi di laurea.docx” è stato rinominato in “tesi di laurea.docx.[destroed_total@aol.com].wallet“) potete finalmente recuperare i documenti cifrati scaricando il Decryptor per Crysis sviluppato da Avast [WBM] e avviandolo per verificare di aver scaricato la versione 1.0.103.0 o successiva, sul PC con i file criptati o su un altro, è indifferente.
A questo punto si potrà selezionare il disco da decifrare, scegliendo tra drive locali o di rete, oppure singole cartelle, scegliendo anche se eseguire un backup dei file cifrati e avviare il processo di decifratura come Amministratore, per poter raggiungere la maggior quantità di file possibile sul sistema, anche quelli “bloccati” dal sistema stesso.
Si avvierà quindi il processo di decryption e, dopo un’attesa dipendente dalla quantità di file presenti sul PC, si otterranno i file originali, recuperati e integri, conservando anche una copia dei file cifrati se è stata impostata l’opzione.
La famiglia del ransomware Crysis nota come Dharma è stata utilizzata in questi mesi da diversi delinquenti, che hanno “marchiato” i file criptati lasciando email diverse nei file rinominati dopo la cifratura, qui un elenco dei principali indirizzi di posta elettronica utilizzati:
3048664056@qq.com, age_empires@aol.com, aligi@zakazaka.group, amagnus@india.com, amanda_sofost@india.com, braker@plague.life, breakdown@india.com, crann@india.com, crann@stopper.me, crannbest@foxmail.com, cryalex@india.com, Cryptime@india.com, crysis@indya.life, danger_rush@aol.com, dderek416@gmail.com, dderek@india.com, ded_pool@aol.com, denied@india.com, destroed_total@aol.com, diablo_diablo2@aol.com, donald_dak@aol.com, dropped@india.com, enterprise_lost@aol.com, fedor2@aol.com, fidel_romposo@aol.com, fire.show@aol.com, first_wolf@aol.com, flashprize@india.com, fly_goods@aol.com, gotham_mouse@aol.com, grand_car@aol.com, gutentag@india.com, HelpRobert@gmx.com, ice_snow@aol.com, info@kraken.cc, injury@india.com, interlock@india.com, joker_lucker@aol.com, kuprin@india.com, last_centurion@aol.com, lavandos@dr.com, legionfromheaven@india.com, m.reptile@aol.com, m.subzero@aol.com, makedonskiy@india.com, mandanos@foxmail.com, matacas@foxmail.com, mission_inposible@aol.com, mission_inpossible@aol.com, mk.baraka@aol.com, mk.cyrax@aol.com, mk.goro@aol.com, mk.jax@aol.com, mk.johnny@aol.com, mk.kabal@aol.com, mk.kitana@aol.com, mk.liukang@aol.com, mk.noobsaibot@aol.com, mk.raiden@aol.com, mk.rain@aol.com, mk.scorpion@aol.com, mk.sektor@aol.com, mk.sharik@aol.com, mk.smoke@aol.com, mk.sonyablade@aol.com, mk.stryker@aol.com, mkgoro@india.com, mkjohnny@india.com, MKKitana@india.com, Mkliukang@india.com, mknoobsaibot@india.com, mkscorpion@india.com, MKSmoke@india.com, mksubzero@india.com, moneymaker2@india.com, nicecrypt@india.com, nomascus@india.com, nort_dog@aol.com, nort_folk@aol.com, obamausa7@aol.com, p_pant@aol.com, reserve-mk.kabal@india.com, sammer_winter@aol.com, shamudin@india.com, sman@india.com, smartsupport@india.com, spacelocker@post.com, space_rangers@aol.com, ssama@india.com, stopper@india.com, supermagnet@india.com, support_files@india.com, tanksfast@aol.com, terrabyte8@india.com, total_zero@aol.com, versus@india.com, walmanager@qq.com, warlokold@aol.com, war_lost@aol.com, webmafia@asia.com, webmafia@india.com, xmen_xmen@aol.com, zaloha@india.com
La fonte dell’articolo Disponibile il decryptor per il ransomware Dharma con estensione .wallet è: Ransomware Blog.