In una mossa piuttosto insolita, sviluppatori del famigerato GandCrab hanno fatto le chiavi di decrittazione per vittime siriane disponibile gratuitamente. Le chiavi sono state pubblicate su un forum di cybercrime sotterraneo dagli sviluppatori dopo leggono una serie di tweets da un uomo siriano che aveva foto e video dei suoi figli deceduti crittografati da v 5.0.3 GandCrab.
They want 600 dollars to give me back my children, that’s what they’ve done, they’ve taken my boys away from me for a some filthy money. How can I pay them 600 dollars if I barely have enough money to put food on the table for me and my wife? – جميل سليمان (@kvbNDtxL0kmIqRU) October 16, 2018
dopo aver letto i Tweet, gli sviluppatori di GandCrab ha deciso di aiutare le vittime in Siria pubblicando le chiavi. Essi affermano inoltre che sia stato un errore di non includere la Siria nell’elenco dei paesi che GandCrab sarebbe ignorare. Tuttavia, mentre affermano di aver fatto un errore, non è noto se le versioni future di GandCrab crittograferà i file degli utenti siriani o non.
Secondo il post sul forum di cybercrime, siriane vittime possono scaricare uno strumento di decrittografia dalla pagina del pagamento, o se non è un’opzione, si deve attendere per gli sviluppatori di antivirus rilasciare uno strumento di decrittografia. Un file zip contenente le chiavi di decrittazione per vittime siriane è stato anche aggiunto al post. Nel file zip, ci sono file Readme. txt e file di SY_key.txt. Nel primo caso, gli sviluppatori GandCrab spiegano che a causa della Siria situazione politica, economia e relazioni con i paesi della CSI, essi hanno preso la decisione per aiutare le vittime siriane. Essi affermano inoltre che se la chiave di decrittazione della vittima siriano è non incluso nell’elenco pubblicato, quella persona ha bisogno di scattare una foto di se stessi, la loro pagina di pagamento e il passaporto e inviarlo a loro. Se vi trovate in questa situazione, suggeriamo che si avvicina la questione con estrema cautela come inviare una foto del passaporto può portare a gravi conseguenze, come il furto di identità.
Purtroppo, se siete una vittima di GandCrab ma sono basate di fuori della Siria, questa improvvisa generosità di ransomware sviluppatori non si applicherà a voi. In particolare dichiarano che non rilascerà i tasti per le vittime in altri paesi. Anche se hanno chiuso il progetto ransomware, distruggeranno semplicemente i tasti.
Il file SY_keys.txt contiene quasi mille decrittografia chiavi per diverse versioni di GandCrab. Società di software Bitdefender ha aggiornato loro decryptor GandCrab con le chiavi, consentendo agli utenti siriani di decrittografare i file. La decrittografia può essere scaricato here. Mentre molto probabilmente non funziona, puoi provare a utilizzare il decryptor anche se sei di fuori della Siria.
Se ci si trova in un altro paese, Bitdefender si esprime anche contro pagamento.
“Invece, prendere una copia di backup dei file riscattati, insieme con la richiesta di riscatto e archiviarli un posto sicuro, perché l’aiuto sta arrivando davvero presto. Stiamo lavorando tutti su di esso e risolveremo questo”, dice l’azienda.