Gli esperti di Bitdefender hanno rilasciato il tool che permette di recuperare i file cifrati dal ransomware MortalKombat. Analizzando il codice sono stati individuati errori di programmazione che la software house rumena ha sfruttato per realizzare il decryptor. I dettagli sul malware sono stati pubblicati a metà febbraio da Cisco Talos. Gli utenti devono sempre utilizzare una soluzione di sicurezza per evitare rischi.
MortalKombat: decryptor gratuito
La catena di infezione prevede l’invio di email di phishing con un allegato ZIP. All’interno dell’archivio c’è il loader BAT che scarica un altro file ZIP dal server controllato dai cybercriminali. Il contenuto dell’archivio, ovvero il ransomware MortalKombat, viene estratto automaticamente ed eseguito sul computer della vittima.
Oltre a cifrare numerosi file, il ransomware modifica Windows Explorer, rimuove le applicazioni dall’avvio di Windows e disattiva il comando Run. Viene quindi mostrato il file di testo (HOW TO DECRYPT FILES.txt
) con le istruzioni da seguire per contattare i cybercriminali tramite l’app di messaggistica qTox o indirizzo email di Proton.
Al termine del processo di cifratura, i file avranno l’estensione ..Remember_you_got_only_24_hours_to_make_the_payment_if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware
. Il tool offerto gratuitamente da Bitdefender è disponibile con interfaccia grafica, ma può essere eseguito anche da linea di comando. È possibile usare vari parametri:
-help
– spiega come usare il toolstart
– avvia il tool-scan-path
– specifica il percorso dei file-full-scan
– attiva la scansione completa-disable-backup
– disattiva il backup dei file-replace-existing
– attiva la sovrascrittura dei file
Ad esempio, per effettuare la scansione completa del sistema deve essere usato questo comando:
BDMortalKombatDecryptTool.exe start -full-scan