Ransomware: Recuperare i file cifrati dai ransomware Maze, Egregor e Sekhmet

I ransomware Maze, Sekhmet ed Egregor criptano i file della vittima usando ChaCha8 e aggiungendo un'estensione casuale. Alle vittime viene fornita una nota su come pagare il riscatto simile a quella mostrata di seguito:

 Attention!  
   
 ----------------------------  
 | What happened?  
 ----------------------------  
   
 We hacked your network and now all your files, documents, photos, databases, and other important data are safely encrypted with reliable algorithms.  
 You cannot access the files right now. But do not worry. You can get it back! It is easy to recover in a few steps.  
   
 We have also downloaded a lot of private data from your network, so in case of not contacting us as soon as possible this data will be released.  
 If you do not contact us in a 3 days we will post information about your breach on our public news website and after 7 days the whole downloaded info.  
   
 To see what happens to those who don't contact us, google:  
 * Southwire Maze Ransomware  
 * MDLab Maze Ransomware  
 * City of Pensacola Maze Ransomware  
   
 After the payment the data will be removed from our disks and decryptor will be given to you, so you can restore all your files.  
   
 ----------------------------  
 | How to contact us and get my files back?  
 ----------------------------  
   
 The only method to restore your files and be safe from data leakage is to purchase a unique for you private key which is securely stored on our servers.   
 To contact us and purchase the key you have to visit our website in a hidden TOR network.  
   
 There are general 2 ways to reach us:  
   
 1) [Recommended] Using hidden TOR network.  
   
  a) Download a special TOR browser: https://www.torproject.org/  
  b) Install the TOR Browser.  
  c) Open the TOR Browser.  
  d) Open our website in the TOR browser: http://aoacugmutagkwctu.onion/[modificato]  
  e) Follow the instructions on this page.   
   
 2) If you have any problems connecting or using TOR network  
   
  a) Open our website: https://mazedecrypt.top/[modificato]  
  b) Follow the instructions on this page.  
   
 Warning: the second (2) method can be blocked in some countries. That is why the first (1) method is recommended to use.   
   
 On this page, you will see instructions on how to make a free decryption test and how to pay.  
 Also it has a live chat with our operators and support team.  
   
 ----------------------------  
 | What about guarantees?  
 ----------------------------  
   
 We understand your stress and worry.  
 So you have a FREE opportunity to test a service by instantly decrypting for free three files from every system in your network.  
 If you have any problems our friendly support team is always here to assist you in a live chat!  
   
 P.S. Dear system administrators, do not think you can handle it by yourself. Inform leadership as soon as possible.  
 By hiding the fact of the breach you will be eventually fired and sometimes even sued.  
 -------------------------------------------------------------------------------  
 THIS IS A SPECIAL BLOCK WITH A PERSONAL AND CONFIDENTIAL INFORMATION! DO NOT TOUCH IT WE NEED IT TO IDENTIFY AND AUTHORIZE YOU  
 ---BEGIN MAZE KEY---  
 [modificato]  
 ---END MAZE KEY---  

Da quando i server del ransomware Maze sono stati spenti nell'ottobre 2020, le vittime hanno sperato nel rilascio delle chiavi di crittazione per il recupero dei dati. Il rilascio è avvenuto questa settimana, dopo quasi 14 mesi. Gli sviluppatori dei ransomware (nel 2020 il gruppo di pirati Maze si è unito ad altri gruppi criminali esperti di ransomware come Egregor), infatti, hanno rilasciato le master key dei ransomware Maze, Egregor e Sekhmet in un post sul forum di BleepingComputer.

La società di sicurezza Emsisoft ha sviluppato e rilasciato in tempi brevi un tool per la decrittazione dei file. Il tool può essere scaricato dal seguente link

DOWNLOAD

Recupero dei file

• Il tool va eseguito come amministratore. Una volta avviato bisogna accettare i termini di licenza cliccando sul pulsante "I Agree" per proseguire.
  

  

  FIG 1 - Emsisoft Termini di licenza

  
  
• Cliccare sul pulsante "Browse" e selezionare la nota di riscatto (generalmente un file di testo con il nome del tipo DECRYPT-FILES.txt) quindi cliccare su "Start".
  

  

  FIG 2 - Emsisoft Decryptor, selezione della nota di riscatto

  
  
• Verrà mostrato un messaggio informativo sui dettagli della crittografia recuperati dalle informazioni contenute all'interno delle note di riscatto. Cliccare su OK.
  

  

  FIG 3 - Decryptor Key Found

  
  
• La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante "Add folder" è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti "Remove object(s)", per eliminare quelli selezionati, o "Clear object list" per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su "Decrypt" per avviare il processo.
  

  

  FIG 4 - Emsisoft Decryptor for MazeSehkmetEgregor

  
  
• Nella scheda Results verranno mostrati i progressi nel recupero dei file cifrati. Al termine del recupero è possibile salvare il log cliccando sul pulsante "Save log" oppure copiarlo negli appunti cliccando su "Copy log to clipboard".
  
  

  

  FIG 5 - Emsisoft Decryptor Results

  
  

 

Ransomware Ziggy: Decriptare i file

Come visto per tanti ransomware, anche Ziggy blocca l'accesso ai file cifrando il loro contenuto (tramite l'utilizzo degli algoritmi RSA-4096 e AES-256 GCM) e richiedendo un riscatto. In tutte le cartelle contenenti file cifrati viene creato il file "## HOW TO DECRYPT ##.exe", un file eseguibile che visualizza le istruzioni per il pagamento del riscatto. I file cifrati vengono rinominati aggiungendo al nome l'ID della vittima, l'indirizzo email lilmoon1@criptext.com e, infine, l'estensione .ziggy.

Ad esempio il file

foto.jpg

verrà rinominato dal ransomware in qualcosa del tipo

foto.jpg.id=[A235D928].email=[lilmoon1@criptext.com].ziggy

Nel messaggio di riscatto la vittima viene invitata a contattare un indirizzo email indicando il proprio ID per procedere al pagamento del riscatto in Bitcoin. Una volta effettuato il pagamento verranno inviati un tool e relative istruzioni per procedere al recupero dei propri dati. Nel messaggio viene anche indicato che il prezzo da pagare dipende da quanto celermente le vittime contatteranno gli sviluppatori del ransomware facendo intendere che più tempo passa dall'infezione più alto sarà il riscatto. Prima di effettuare il pagamento, alla vittima viene data la possibilità di inviare 5 file che verranno decrittati gratuitamente (una sorta di prova di affidabilità). 

In questi casi dovrebbe essere superfluo ricordare che, avendo a che fare con criminali, il pagamento del riscatto non garantisce il recupero dei dati.

FIG 1 - Ziggy, messaggio del riscatto

Da qualche giorno i server di Ziggy sono stati chiusi e gli sviluppatori, forse anche per le recenti operazioni di polizia contro i ransomware Emotet e Netwalker, hanno deciso di rendere pubbliche le chiavi di decrittazione. Gli sviluppatori del ransomware hanno rilasciato un file SQL contenente, per ciascuna vittima, 3 chiavi da utilizzare per decrittare i dati ed è stato rilasciato anche il relativo tool. 

FIG 2 - File SQL con chiavi di decrittazione

FIG 3 - Decryptor fornito dagli sviluppatori di Ziggy

Il ransomware procedeva a criptare i dati degli utenti con chiavi di cifratura offline nel caso in cui le vittime non fossero connesse ad Internet o nel caso in cui i server C & C non fossero raggiungibili. Gli sviluppatori hanno anche condiviso il codice sorgente del decryptor contenente le chiavi di decrittazione offline.

Grazie alle informazioni e alle chiavi rilasciate, l'esperto di ransomware Michael Gillespie ha creato il tool Emsisoft Decryptor for Ziggy che permette alle vittime di recuperare i propri dati:

• Il tool può essere scaricato da https://www.emsisoft.com/ransomware-decryption-tools/ziggy
• Una volta avviato, per proseguire, è necessario accettare i termini di licenza cliccando sul pulsante Yes.
  

  

  FIG 4 - Decryptor for Ziggy, Licenza

  
  
• Cliccare sull'unico pulsante Browse attivo, selezionare un file crittografato da recuperare quindi cliccare su Start per avviare l'analisi.
  

  

  FIG 5 - Decryptor for Ziggy

  
  
• Al termine dell'analisi verrà visualizzata una finestra di dialogo informativa relativa alle chiavi di decrittazione trovate. Per proseguire cliccare su OK.
  

  

  FIG 6 - Decryptor for Ziggy, Decryption Key found

  
  
• La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante Add folder è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti Remove object(s), per eliminare quelli selezionati, o Clear object list per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su Decrypt per avviare il processo.
  
  

  

  FIG 7 - Decryptor for Ziggy, Decrypt

  
  
• Nella scheda Results sarà possibile visualizzare i dettagli sull'operazione di recupero in corso.
  

Ransomware NamPoHyu Virus (MegaLocker Virus): Recupero dati

Una nuova famiglia di ransomware conosciuta con il nome NamPoHyu Virus o MegaLocker Virus è da qualche mese in circolazione. La caratteristica di questo nuovo ransomware è il suo modo di agire leggermente diverso da quelli visti fino ad ora.
Generalmente un ransomware infetta il computer della vittima attraverso uno dei canali di infezione (email, malware, siti infetti,ecc) ed, eseguito in locale sulla macchina compromessa, procede a cifrare i dati. I ransomware di questa nuova famiglia, invece, vengono eseguiti da remoto sul computer di chi esegue l'attacco, ricerca i server samba accessibili, effettua un brute forcing di eventuali password di accesso quindi cifra i dati e crea un file con le informazioni sul riscatto.

Il ransomware è stato individuato per la prima volta a marzo 2019 e identificato con il nome MegaLocker Virus. In poco tempo ha fatto numerose vittime cifrando i dati presenti sui NAS non correttamente configurati. 
Ai file cifrati viene aggiuna l'estensione .crypted e viene creato il file !DECRYPT_INSTRUCTION.TXT contenente le istruzioni per il pagamento del riscatto che varia da 250$ per un utente privato agli 800-1000$ per un'azienda. All'intero delle istruzioni è indicato di contattare l'indirizzo alexshkipper@firemail.cc per il pagamento del riscatto e, per dimostrare di essere un utente privato, viene richiesto di inviare una foto personale (di un compleanno, hobby, in vacanza, ecc).
Ad aprile il nome del ransomware è stato modificato in NamPoHyu Virus e ai file cifrati viene ora aggiunta l'estensione .NamPoHyu.  All'interno delle istruzioni viene indicato un sito TOR a cui collegarsi e reperire informazioni sul pagamento del riscatto.

FIG 1 - NamPoHyu file !DECRYPT_INSTRUCTION.TXT 

La scelta di attaccare i server Samba non è casuale, basta effettuare una semplice ricerca in Shodan (port:445 "SMB Status Authentication: disabled") per individuare oltre 500 mila possibili obiettivi. Il protocollo Samba è molto diffuso ed impiegato per condividere file, cartelle, stampanti in rete anche tra sistemi operativi diversi. Nonostante in passato tale protocollo sia salito più volte agli onori della cronaca per essere stato sfruttato da diversi attacchi informatici (come ad es. nel caso del ransomware WannaCry), continua ad essere configurato e utilizzato in maniera poco sicura.

FIG 2 - Shodan, Ricerca server Samba

Recuperare i dati cifrati da NamPoHyu Virus (MegaLocker Virus)

La nota società di sicurezza Emsisoft, ha sviluppato un tool che consente di decriptare i dati cifrati dal ransomware NamPoHyu Virus (o MegaLocker Virus). Il tool può essere scaricato dal seguente link
DOWNLOAD

Una volta avviato il tool vengono mostrate le condizioni di utilizzo che vanno accettate cliccando sul pulsante Yes per proseguire.

FIG 3 - Emsisoft Decrypter for MegaLocker licenza

Cliccare sul pulsante Browse e selezionare il file !DECRYPT_INSTRUCTION.TXT  quindi cliccare sul pulsante Start.

FIG 4 - Emsisoft Decrypter for MegaLocker, analisi file !DECRYPT_INSTRUCTION.TXT

Terminato il processo il tool visualizza una finestra di dialogo con la chiave per decriptare i dati. 

FIG 5 - Emsisoft Decrypter for MegaLocker, Decryption Key

Cliccando sul pulsante OK nella finestra di dialogo verrà aperta la finestra principale del tool che consente di selezionare la cartella o il disco contenente i file da decriptare.

FIG 6 - Emsisoft Decrypter for MegaLocker, selezione cartelle contenenti i file cifrati

Il processo di recupero dei dati va avviato cliccando sul pulsante Decrypt. La finestra passa automaticamente alla scheda Results dove viene mostrato lo stato dell'operazione di recupero.

FIG 7 - Emsisoft Decrypter for MegaLocker, Procedura completata

Al termine è possibile salvare il log dell'operazione cliccando sul pulsante Save log.


Se la chiave non viene trovata e viene visualizzato il messaggio in FIG 8 è probabile che i dati siano stati cifrati con una variante aggiornata del ransomware. In questi casi non resta che incrociare le dita e attendere una soluzione o una nuova versione del tool.

FIG 8 - Emsisoft Decrypter for MegaLocker, Chiave non trovata

Ransomware Apocalypse: Recupero dei file

Apocalypse è uno dei tanti ransomware in circolazione. Diffuso prevalentemente tramite email, una volta installato crea un file eseguibile nominato windowsupdate.exe in C:\Program File (x86) inoltre crea un valore Windows Update Svc all'interno della chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ che permette al ransomware di avviarsi ogni volta che l'utente effettua il logon al sistema. Quando Apocalypse viene eseguito, provvede a cifrare tutti i file tranne i file presenti in C:\Windows e quelli aventi le seguenti estensioni:  .bat, .bin, .com, .dat, .dll, .encrypted, .exe, .ini, .lnk, .msi, .sys, .tmp

Ai file cifrati viene aggiunta l'estensione .encrypted e viene creato un nuovo file dal nome <nome_file_cifrato>.How_To_Decrypt.txt contenente le istruzioni per il pagamento del riscatto. Terminata l'operazione di cifratura, Apocalypse impedisce all'utente di accedere al proprio desktop visualizzando una schermata di blocco con il seguente messaggio:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Recuperare i dati cifrati da Apocalypse

Liberarsi del ransomware non è difficile e, grazie ad un tool sviluppato da  Fabian Wosar di Emsisoft, è possibile recuperare anche i propri file.

• Il primo passo da seguire è quello di avviare il sistema in modalità provvisoria con supporto di rete (Safe Mode with Networking).
• Una volta in modalità provvisoria possiamo disabilitare l'avvio automatico del ransomware eliminando il seguente valore all'interno del registro di sistema HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc oppure disabilitandolo tramite msconfig (o dalla scheda Avvio di Gestione Attività)
  

  

  FIG 1 - Sezione Avvio da Gestione attività

• Scaricare il took di Emsisoft decrypt_apocalypse.exe dal seguente link http://decrypter.emsisoft.com/download/apocalypse e avviarlo
• Accettare la licenza
  
  

  

  FIG 2 - Licenza Decrypter for Apocalypse

• Il tool seleziona per default la partizione C: del disco. Cliccando su Add file(s) possiamo aggiungere altre partizioni o cartelle.
  
  

  

  FIG 3 - Emsisoft Decrypter for Apocalypse

• Quando siamo pronti basta cliccare su Decrypt. Tutti i file presenti nel disco selezionato e nelle relative sottocartelle verranno decriptati. I risultati/progressi saranno visibili dal tool all'interno della scheda Results.

Ransomware BadBlock: Come recuperare i file

Tra i tanti ransomware in circolazione, BadBlock è forse quello realizzato peggio. Generalmente i ransomware provvedono a cifrare solo i dati utente, lasciando intatto il sistema operativo in modo che l'utente visualizzi le informazioni per il pagamento del riscatto. BadBlock, invece, cifra non solo i dati dell'utente ma anche tutti i file eseguibili compresi quelli di sistema, così al successivo avvio l'utente potrebbe incappare in un messaggio simile a quello visualizzato in FIG 1 e Windows non viene caricato.

FIG 1 - Impossibile avviare Windows a causa di file mancante o corrotto

La maggior parte dei ransomware visualizzano il messaggio relativo al pagamento del riscatto solo quando hanno già cifrato tutti i dati dell'utente mentre BadBlock lo visualizza nel momento in cui inizia a cifrare i file e può essere bloccato terminando il processo badransom.exe dal Task Manager (Gestione attività).

FIG 2 - BadBlock: richiesta pagamento riscatto

Il ransomware BadBlock si diffonde principalmente tramite email. 
Quando si viene infettati, la prima operazione da effettuare è quella di stoppare il processo da Task Manager. É consigliabile non riavviare il sistema in quanto se il ransomware è riuscito a cifrare un file del sistema operativo, al successivo avvio, Windows potrebbe non ripartire.
Per rimuovere il ransomware basta effettuare una scansione con MalwareBytes dopo aver aggiornato il database. 

Come recuperare i dati cifrati

Passo 1: 
Per recuperare i dati cifrati è possibile utilizzare il tool Decrypt BadBlock sviluppato da Fabian Wosar di Emsisoft. Il tool può essere scaricato da http://decrypter.emsisoft.com/download/badblock 

Passo 2: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.

FIG 3 - Decrypt BadBlock: Creazione cartella sul desktop

Passo 3: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_badblock.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.

FIG 4 - BadBlock: Decryption Key

Passo 4: 
Accettare la licenza di utilizzo cliccando su Sì per proseguire e visualizzare la finestra Emsisoft Decrypter for BadBlock.

FIG 5 - Decrypt BadBlock - License terms

Passo 5: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.

FIG 6 - BadBlock: Emsisoft Decrypter

FIG 7 - BadBlock: Emsisoft Decrypter, risultati