Emsisoft rilascia il decripter per il ransomware OpenToYou

Emsisoft rilascia il decripter per il ransomware OpenToYou

Il direttore tecnico/ricercatore di Emsisoft, Fabian Wosar, ha creato un decrypter per il nuovo ransomware OpenToYou che aiuterà le vittime infettate da questo ransomware a decriptare i dati presi in ostaggio senza pagare il riscatto.

Il nome del ransomware proviene dall’indirizzo email che viene utilizzato per diffondere il malware ([email protected]), e dall’estensione creata da ogni file criptato ([email protected]).

Processo di infezione di OpenToYou

Quando infetta il computer per la prima volta, il ransomware OpenToYou creerà una password, utilizzando il metodo SHA-1 per la creazione, e la userà per criptare i file delle vittime con l’algoritmo RC4.

Il ransomware colpisce 242 tipi di file. Le seguenti estensioni verranno prese di mira:

*.3ds,*.3fr,*.4db,*.7z,*.7zip,*.accdb,*.accdt,*.aes,*.ai,*.apk,*.arch00,*.arj,*.arw,
*.asset,*.avi,*.bar,*.bay,*.bc6,*.bc7,*.big,*.bik,*.bkf,*.bkp,*.blob,*.bpw,*.bsa,
*.cas,*.cdr,*.cer,*.cfr,*.cr2,*.crp,*.crt,*.crw,*.css,*.csv,*.d3dbsp,*.das,*.dazip,
*.db0,*.dba,*.dbf,*.dbx,*.dcr,*.der,*.desc,*.dmp,*.dng,*.doc,*.docm,*.docx,*.dot,
*.dotm,*.dotx,*.dwfx,*.dwg,*.dwk,*.dxf,*.dxg,*.eml,*.epk,*.eps,*.erf,*.esm,*.ff,*.flv,
*.forge,*.fos,*.fpk,*.fsh,*.gdb,*.gho,*.gpg,*.gxk,*.hkdb,*.hkx,*.hplg,*.hvpl,*.ibank,
*.icxs,*.idx,*.ifx,*.indd,*.iso,*.itdb,*.itl,*.itm,*.iwd,*.iwi,*.jpe,*.jpeg,*.jpg,*.js,
*.kdb,*.kdbx,*.kdc,*.key,*.kf,*.ksd,*.layout,*.lbf,*.litemod,*.lrf,*.ltx,*.lvl,*.m2,
*.m3u,*.m4a,*.map,*.max,*.mcmeta,*.mdb,*.mdbackup,*.mddata,*.mdf,*.mef,*.menu,*.mlx,
*.mov,*.mp3,*.mp4,*.mpd,*.mpp,*.mpqge,*.mrwref,*.myo,*.nba,*.nbf,*.ncf,*.nrw,*.nsf,
*.ntl,*.nv2,*.odb,*.odc,*.odm,*.odp,*.ods,*.odt,*.ofx,*.orf,*.p12,*.p7b,*.p7c,*.pak,
*.pdb,*.pdd,*.pdf,*.pef,*.pem,*.pfx,*.pgp,*.pkpass,*.png,*.ppj,*.pps,*.ppsx,*.ppt,
*.pptm,*.pptx,*.prproj,*.psd,*.psk,*.pst,*.psw,*.ptx,*.py,*.qba,*.qbb,*.qbo,*.qbw,
*.qdf,*.qfx,*.qic,*.qif,*.raf,*.rar,*.raw,*.rb,*.re4,*.rgss3a,*.rim,*.rofl,*.rtf,
*.rw2,*.rwl,*.saj,*.sav,*.sb,*.sdf,*.sid,*.sidd,*.sidn,*.sie,*.sis,*.sko,*.slm,*.snx,
*.sql,*.sr2,*.srf,*.srw,*.sum,*.svg,*.sxc,*.syncdb,*.t12,*.t13,*.tar,*.tax,*.tbl,
*.tib,*.tor,*.txt,*.upk,*.vcf,*.vdf,*.vfs0,*.vpk,*.vpp_pc,*.vtf,*.w3x,*.wallet,*.wb2,
*.wdb,*.wma,*.wmo,*.wmv,*.wotreplay,*.wpd,*.wps,*.x3f,*.xf,*.xlk,*.xls,*.xlsb,*.xlsm,
*.xlsx,*.xml,*.xxx,*.zip,*.ztmp

Nota aggiuntiva: OpenToYou encripta anche i file senza estensione.

Il ransomware bloccherà tutti i file in tutti i dischi, con l’eccezione delle seguenti cartelle:

C:\$Recycle.Bin
C:\Logs
C:\Users\All Users
C:\Windows
C:\ProgramData
C:\Program Files
C:\Program Files (x86)
C:\nvidia
C:\intel
C:\Boot
C:\bootmgr
C:\PerfLogs
C:\Drivers
C:\MSOCache
C:\Program instal
%USERPROFILE%\AppData

Sfortunatamente questa lista contiene un errore. “C:\bootmgr” non è una cartella, ma un file.

Questo fa si che gli autori di OpenToYou permettano al ransomware di criptare il modulo di avvio di Windows bootmgr che utilizza l’MBR per avviarsi. Questo lascia il computer della vittima nella sfortunata situazione di non poter avviare il sistema operativo al successivo riavvio.

Una volta che il processo è terminato, il ransomware sostituirà lo sfondo del desktop con l’immagine seguente:

OpenToYou-Ransom-Note

Al tempo stesso OpenToYou crea un file sul desktop chiamato !!!.txt. Questo file contiene una nota del ransomware:

Your files are encrypted! – Tutti i tuoi file sono stati criptati!
To decrypt write on email – [email protected] – Per decriptare i file scrivi a [email protected]
Identification key – 5E1C0884 – Chiave di identificazione 5E1C0884

Il numero “5E1C0884”, nella nota, è l’ID della vittima che deve essere inviato ai criminali via mail. Questo ID è collegato al numero seriale del volume C:.

Volume-Serial-Number-OpenToYou
Durante la pubblicazione di questo post, il ransomware sembrerebbe essere ancora in via di sviluppo. Le prove a supporto di questa supposizione è che il ransomware crea una cartella chiamata “C:\Logs\” per creare file temporanei di debug.

Il contenuto della cartella è sempre uguale e la sua presenza può essere usata per rilevare le infezioni del ransomware OpenToYou nelle fasi iniziali.

C:\Logs\1.bmp      [immagine di sfondo]
C:\Logs\1.jpg      [immagine di sfondo] 
C:\Logs\AllFilesList.ini 
C:\Logs\Log.ansi.txt
C:\Logs\Log.UTF-16LE.txt

Le vittime infette da questo ransomware possono ripristinare i loro dati utilizzando l’Emsisoft OpenToYou Decrypter, che è disponibile sul nostro sito.

Emsisoft-OpenToYou-Decrypter

Non è comune trovare un ransomware in via di sviluppo e decriptarlo ancor prima di essere rilasciato tramite spam o campagne malevoli. Se sei stato infettato da una versione di questo ransomware, non esitare di contattare i nostri ricercatori per aiuto.

Gli utenti che utilizzano Emsisoft Anti-Malware od Emsisoft Internet Security sono protetti tramite il modulo del Controllo del Comportamento:

OpenToYou-Detection

Questo post è basato sull’esemplare di ransomware OpenToYou con la seguente hash SHA-256: 3363542a8224cb7624b699fbcc34143c80ad1063196763b9fea0e6f45091454c.