Kaspersky Lab rende disponibile un nuovo tool di decriptazionesviluppato internamente e capace di ripristinare i file cifrati dal ransomware Polyglot, noto anche come MarsJoke. Il trojan Polyglot è stato diffuso tramite email di spam che contenevano un allegato dannoso compresso in un archivio RAR. Durante il processo di crittografia, il trojan non modifica il nome dei file su un computer infetto ma ne blocca l’accesso.
Dopo aver completato la crittografia, lo sfondo dello schermo del PC della vittima è sostituito con una richiesta di riscatto. I cyber criminali chiedono il riscatto in bitcoin e, se il pagamento non avviene in tempo, il trojan si cancella dal device infetto, lasciando tutti i file criptati. Questo nuovo tipo di ransomware sembra assomigliare al famigerato CTB-Locker, tuttavia, dopo un’analisi approfondita, gli esperti di Kaspersky Lab non hanno trovato analogie tra i codici dei malware. Il ransomware Polyglot imita il CTB-Locker in tutto e per tutto: l’interfaccia è praticamente identica così come le azioni richieste per ottenere le chiavi di decriptazione, la pagina di pagamento, lo sfondo del desktop ecc. A quanto pare, i creatori di Polyglot hanno pensato che imitando il CTB-Locker avrebbero potuto ingannare gli utenti e convincerli che fossero attaccati da malware molto pericolosi, non lasciando altra scelta se non pagare i cyber-criminali. Gli esperti di Kaspersky Lab hanno esaminato attentamente i meccanismi di crittografia di Polyglot e hanno scoperto che, al contrario di CTB-Locker, utilizza un debole generatore di chiavi di crittografia. Una ricerca, condotta con il metodo “forza bruta”, tra i set di varianti di possibili chiavi di decriptazioni del Polyglot può essere eseguita in meno di un minuto su un normale PC. Scoprire questa debolezza, ha permesso agli esperti di Kaspersky Lab di sviluppare uno strumento utile per aiutare a sbloccare i dati degli utenti.
Kaspersky Lab ha rilevato questo ransomware come Trojan-Ransom.Win32.Polyglot e PDM:Trojan.Win32.Generic. Ulteriori strumenti di decriptazione sono disponibili sul sito No More Ransom. Il progetto “No More Ransom” è un’iniziativa congiunta tra Kaspersky Lab, la National High Tech Crime Unit della Polizia olandese, l’European Cybercrime Centre di Europol e Intel Security, l’obiettivo principale è aiutare le vittime di ransomware a recuperare i propri dati crittografati senza dover pagare il riscatto ai criminali.
