Roma, 11 gen. (askanews) – Talos, il centro di ricerca per l’intelligence e la cyber security di Cisco, ha rilasciato gratuitamente uno strumento di decrittografia per PyLocky è una famiglia di ransomware scritta in Python che tenta di mascherarsi come variante di Locky.
Pylocky, spiegano i ricercatori della compagnia statunitense, è un malware insolitamente persistente che ha infettato molti sistemi europei, crittografando file, causando problemi di danneggiamento della memoria e di funzionalità.
Lo strumento di decrittografia di Cisco richiede l’acquisizione della comunicazione iniziale avvenuta con il malware, in modo da estrarre la chiave di crittografia. Le uniche macchine che possono beneficiare del decryptor sono quelle che hanno già monitorato il traffico di rete al momento dell’infezione. Il metodo di crittografia viene eseguito tramite una codifica “base 64”, pertanto il ransomware richiede una password casuale e un vettore di inizializzazione, entrambi forniti dal server di comando e controllo. Altri requisiti per eseguire il decryptor consistono nell’utilizzare il sistema operativo Windows, l’utilità WinPcap e il file Pcap con il vettore e la password.
Poiché i file crittografati hanno effettivamente sostituito i file originali in un sistema infetto, il decryptor tenterà di invertire questo processo. In ogni caso tutto dipende dalla dimensione dei file: i test di Cisco hanno rivelato che i file di dimensioni superiori a 4 gigabyte non possono essere (almeno per il momento) decifrati.
(Fonte: Cyber Affairs)