Ο Fabian Wosar της Emisoft κατάφερε να αναπτύξει ένα εργαλείο που είναι ικανό να αποκωδικοποιήσει αρχεία που έχουν κρυπτογραφηθεί από το ransomware DecryptorMax, επίσης γνωστό και σαν CryptInfinite.
Η μόλυνση συμβαίνει όταν τα θύματα ανοίξουν ένα έγγραφο του Word και ενεργοποιήσουν τις μακροεντολές, για να μπορούν να δουν σωστά το αρχείο. Οι μακροεντολές του Word είναι ένα γνωστό θέμα ασφαλείας που χρησιμοποιείται από πολλούς προγραμματιστές κακόβουλου λογισμικού να διανέμουν malware σε υπολογιστές των Windows.
Έτσι αν το ransomware εγκατασταθεί στον υπολογιστή του θύματος, αρχίζει αμέσως την κρυπτογράφηση των αρχείων που συναντά μπροστά του, προσθέτοντας την επέκταση .crinf σε όλα τα κατεστραμμένα αρχεία.
Αμέσως μετά το Ransom πληροφορεί το χρήστη ότι έχει 24 ώρες για να αποστείλει τα λύτρα μέσω PayPal ή MyCash σε μία από τις τρεις διευθύνσεις ηλεκτρονικού ταχυδρομείου: silasw9pa[at]yahoo.co.uk, decryptor171[at]mail2tor.com και decryptor171[at]scramble.io.
Επιπλέον, το ransomware αλλάζει την ταπετσαρία της επιφάνειας εργασίας με ένα σημείωμα για τα λύτρα, στη συνέχεια, διαγράφει όλα τα αντίγραφα του Volume Shadow, και απενεργοποιεί την λειτουργία επιδιόρθωσης των Windows κατά την εκκίνηση, για να μην μπορεί το θύμα να επαναφέρει προηγούμενα αντίγραφα ασφαλείας.
Εδώ έρχεται το εργαλείο του Wosar, που ονομάζεται DecryptInfinite, και είναι αρκετά εύκολο στη χρήση. Θα σας επιτρέψει (εφόσον έχετε προσβληθεί από το DecryptorMax) να ξεκλειδώσετε τα αρχεία τους χωρίς να πληρώσετε τα λύτρα.
Το εργαλείο θα υπολογίσει το κλειδί αποκρυπτογράφησης που απαιτείται για την αποκωδικοποίηση των αρχείων. Αυτή βέβαια είναι μια χρονοβόρα διαδικασία, και θα χρειαστεί να οπλιστείτε με υπομονή, για την χρήση του DecryptInfinite.
Περισσότερες λεπτομέρειες σχετικά με το πώς να χρησιμοποιήσετε DecryptInfinite και πώς λειτουργεί το εργαλείο, μπορείτε να βρείτε στο forum να βρεθεί σε ένα θέμα του φόρουμ του Bleeping Computer.
Κατεβάστε το εργαλείο
http://emsi.at/DecryptCryptInfinite