Lo sviluppatore Fabian Wosar ha pubblicato un decryptor per recuperare i file criptati dal ransomware Philadelpia che cifra i file e chiede un riscatto in bitcoin, scritto dallo stesso autore del cryptovirus Stampado e venduto sul black market Alphabay nel dark web. Così come Stampado, anche il trojan Philadelpia è scritto in linguaggio AutoIT, cifra il contenuto dei file tramite algoritmo AES 256 e il nome dei file tramite algoritmo RC4, modificando i nomi del file aggiungendo l’estensione “.LOCKED”. Fabian Wosar ha annunciato su twitter la pubblicazione del tool per decifrare gratuitamente i documenti criptati dal ransomware Philadelpia, aggiungendo che “alla fine Philadelpia non è poi così innovativo”.

Per utilizzare il decryptor di Fabian Wosar per il ransomware Philadelpia, è necessario reperire un file non criptato corrispondente a uno di quelli con estensione “.LOCKED” criptati dal cryptovirus. Dato che anche il nome del file viene criptato dal ransomware, non è facile capire quale file criptato corrisponda a quello in chiaro, ci si può quindi basare sulla dimensione dei file. Se riuscite a recuperare – tramite backup, allegati email, altri PC, etc… – un file non criptato, cercatene uno della stessa esatta dimensione tra quelli cifrati con estensione “LOCKED”. Attenzione perché il ransomware Philadelpia non chiede cifre considerevoli (0.3 bitcoin) ma se si ritarda con il pagamento (o con l’utilizzo dell’antiransomware di Fabian Wosar) il trojan comincia a cancellare file dal PC, che diventeranno quindi irrecuperabili anche se utilizzate il decryptor. Il decryptor sviluppato dal ricercatore Fabian Wosar è disponibile gratuitamente a questo link.

Da ramsomware-blog

Subscribe to our mailing list

* indicates required

(C) 2015 Monev Software LLC / JoomlaXTC.

Bakappa.it è una soluzione Pinet Internetworking http://www.pinet.it





Ns. dati contabili e fiscali: Pinet di Finesso Giancarlo - Via emilio Faa' di Bruno 69 - 15121 Alessandria - Tel 0131263767 - P.I. 01166420065 - CF FNSGCR52P02A182Y