Il Senior Malware Analyst Fedor Sinitsyn, dei Kaspersky Lab, ha sviluppato un tool software per la decriptazione e per aiutare le vittime di CryptXXX a ripristinare i file cifrati.
Il pericoloso ransomware CryptXXX colpisce i dispositivi Windows prendendo in ostaggio i file, copiando i dati e rubando Bitcoin. Il ransomware CryptXXX viene distribuito agli utenti internet tramite email di spam, che contengono allegati infetti o link a siti nocivi che ospitano Angler Exploit Kit (EK). Subito dopo l’esecuzione, il ransomware cripta i file sul sistema infetto, aggiungendo l’estensione .crypt al nome del file. Le vittime vengono informate che i loro dati sono stati criptati tramite RSA-4096 che chiede un riscatto in bitcoin per la restituzione dei dati.
Con più di 50 famiglie di ransomware attualmente in circolazione, non esiste un singolo algoritmo universale per contrastare la minaccia o l’impatto degli attacchi. Tuttavia, nel caso di CryptXXX, la fiducia dei criminali verso RSA-4096 si è rivelata eccessiva e Kaspersky Lab è stata in grado di sviluppare un tool di decriptazione.
Grazie al lavoro degli esperti di Kaspersky Lab, le vittime possono confidare nel fatto che, sebbene il ransomware CryptXXX sia riuscito a farsi strada nel sistema, è ancora possibile recuperare i file senza pagare il riscatto. Per decriptare i file colpiti, l’utility di Kaspersky Lab avrà bisogno della versione originale (non criptata) di almeno un file colpito da CryptXXX.
Gli utenti di Kaspersky Lab dispongono di un’ulteriore protezione in quanto l’Angler Exploit Kit utilizzato dal ransomware CryptXXX viene rilevano fin dalle prime fasi di infezione dalla tecnologia Automatic Exploit Prevention delle soluzioni dell’azienda.
I prodotti Kaspersky Lab rilevano questo exploit kit con i seguenti verdetti: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Per proteggersi dall’infezione gli utenti dovrebbero adottare i seguenti comportamenti:
1. Effettuare regolarmente il backup
2. Installare tutti gli aggiornamenti importanti per il sistema operativo e i browser. L’Angler Exploit Kit, utilizzato da CryptXXX, sfrutta le vulnerabilità software per scaricare e installare il ransomware.
3. Installare una soluzione di sicurezza.