I laboratori Emsisoft hanno rilasciato due strumenti di decrittazione relativi alle infezioni del ransom Xoris e 777.
Xorist Ransomware
Questo ransom si comporta come tutti gli altri, ovvero critta i dati dell’utente e chiede un riscatto. I file sono salvati con diverse estensioni, che possono essere:
- .6FKR8d,
- .EnCiPhErEd,
- .73i87A,
- .p5tkjw
- .PoAr2w
Il ransom viene creato con strumenti in vendita nei vari forum chiamati Encoder Builder. Inoltre, dopo l’infezione compare nel desktop un file text denominato “How To Decrypt Files”. La fase di decrittazione richiede di avere almeno un file NON criptato, in maniera da permettere di ricavare la chiave di cifratura.
Lo strumento di decrittazione è disponibile da qui
777 Ransomware
Questo ransom critta i file salvandoli con estensione .777, inoltre ne sostituisce il nome, aggiungendo (sembra) un indirizzo email. Anche in questo caso è reso disponibile uno strumento di decrittazione
Fonte parziale: Emsisoft Releases Decryptors for the Xorist and 777 Ransomware