Visualizzazione post con etichetta .RARE1. Mostra tutti i post
Visualizzazione post con etichetta .RARE1. Mostra tutti i post

venerdì 3 marzo 2017

Ransomware MRCR (Merry X-Mas): Recuperare i dati

Il ransomware MRCR, noto anche come Merry X-Mas, è apparso per la prima volta a dicembre 2016. Il ransomware, realizzato in Delphi, utilizza un algoritmo di cifratura proprietario e aggiunge ai file cifrati una delle seguenti estensioni:  .MRCR1, .MERRY, , .PEGS1, .RARE1, .RMCM1.

Tramite il tool messo a disposizione da Emsisoft è possibile decriptare i propri file a patto di possedere almeno la versione non cifrata di un file (affinché l'operazione vada a buon fine è necessario, inoltre, utilizzare file che hanno una dimensione compresa tra 64KB e 100MB).
Se il ransomware ha cifrato i file presenti nelle seguenti cartelle
C:\Windows\Web
C:\Windows\Media
C:\Users\Public\Pictures\Sample Pictures
è possibile recuperare la versione non cifrata di tali file da altri PC con installata la medesima versione di Windows.


Recuperare i dati

Vediamo in dettaglio come procedere per recuperare i propri dati
  • Eseguire il download di Emsisoft Decrypter for MRCR da https://decrypter.emsisoft.com/download/mrcr
  • Per avviare il processo di recupero dei dati basta trascinare entrambe le versioni del file, quella cifrata e quella non cifrata,  sul file eseguibile precedentemente scaricato;
    Emsisoft Decrypter for MRCR, trascinare i file sull'eseguibile del tool
    FIG 1 - Emsisoft Decrypter for MRCR, trascinare i file sull'eseguibile del tool
  • Cliccare su Si all'eventuale finestra del Controllo dell'account utente (UAC);
  • Se la chiave per la decriptazione dei file viene trovata, verrà visualizzato il messaggio mostrato in FIG 2. Cliccare su OK per proseguire.
    Emsisoft Decrypter for MRCR, chiave per la decriptazione
    FIG 2 - Emsisoft Decrypter for MRCR, chiave per la decriptazione
  • Cliccare su YES nella finestra di dialogo relativa alle condizioni di utilizzo;
    Emsisoft Decrypter for MRCR, termini di licenza
    FIG 3 - Emsisoft Decrypter for MRCR, termini di licenza
  • A questo punto è possibile selezionare i dischi o le cartelle su cui risiedono i file cifrati quindi cliccare sul pulsante Decrypt per procedere nell'operazione di recupero;
    Emsisoft Decrypter for MRCR, Decrypt
    FIG 4 - Emsisoft Decrypter for MRCR, Decrypt
  • Al termine è possibile visualizzare e salvare l'esito dell'operazione cliccando sulla scheda Results.


Opzioni
Cliccando sulla scheda Options è possibile accedere alla sezione relativa alle varie opzioni implementate nel tool:

Keep encrypted files
Selezionando tale opzione i file cifrati non vengono eliminati. Ciò può essere utile nel caso in cui il tool non funzioni correttamente con i propri file per cui i file decriptati non risultano utilizzabili. In questo modo si ha la possibilità di ritentare con un'altra chiave.

Detect failed encryptions
Il ransomware non sempre riesce a cifrare tutti i file. In alcuni casi provvede semplicemente a rinominare il file senza cifrarne il contenuto. Abilitando tale opzione, il tool provvede a ripristinare il nome originario del file senza tentare di decifrarne il contenuto.

Key selection
In alcune condizioni è possibile che Emsisoft Decrypter for MRCR trovi più chiavi utilizzabili per decriptare i file. In questi casi tale opzione permette di selezionare una chiave specifica tra quelle trovate.