Ransomware Thanatos: disponibile tool di decriptazione gratuito

Thanatos è un ransomware in diffusione da molti mesi: è stato individuato intorno alla fine del Febbraio di quest'anno e ha prodotto moltissimi danni, sopratutto a causa di un malfunzionamento del meccanismo di criptazione che ha impedito il recupero dei file anche a vittime paganti. Il problema venne riscontrato da Francesco Muroni, un ricercatore che, studiando a fondo il malware, aveva notato che le chiavi di criptazione (una per ogni file criptato) non venivano salvate da nessuna parte. Ciò ha significato l'impossibilità del recupero dei file anche in caso di pagamento del riscatto: neppure il tool di decriptazione inviato dai cyber criminali infatti è capace di riportare in chiaro i file. 
 
Il primo ransomware ad accettare i Bitcoin Cash
Thanatos si è però distinto per essere il primo ransomware a richiedere il pagamento del riscatto non in Bitcoin o Monero (le due cripto valute più usate dagli sviluppatori di ransomware), ma in Bitcoin Cash. Stiamo parlando di una cripto valuta molto giovane nata quando Bitcoin ha colpito il blocco di 478.558: Bitcoin è stato quindi diviso in due e la nuova cripto valuta è appunto Bitcoin Cash. In ogni caso è possibile pagare il riscatto del ransomware Thanatos anche in Bitcoin classici e in Ethereum. 
 
Come cripta i file
Quando questo ransomware cripta un computer, genera una chiave di criptazione per ogni singolo file criptato. Come già detto però queste chiavi di criptazione non vengono salvate da nessuna parte. I file criptati non subiscono alcuna variazione del nome: viene però sostituta l'estensione in .THANATOS. 
 
 
Terminata la criptazione il ransomware si connette a  iplogger.com/1t3i37 così da poter tenere traccia dell'ammontare di vittime che sono state colpite dall'infezione. Infine genera una chiave di autorun chiamata "Microsoft Update System Web-Helper"che apre la nota di riscatto ogni volta che l'utente esegue il login nel sistema. 
 
La nota di riscatto
La nota di riscatto richiede circa 200 dollari americani da versare appunto verso tre diversi conti: quello per Bitcoin, quello per gli Ethereum, quello per Bitcoin Cash. La nota di riscatto contiene una email di contatto thanatos1.1@yandex.com, le istruzioni per contattare i gestori del ransomware e l'ID unico della vittima per ricevere il tool di decriptazione.
 


Il tool di decriptazione
Cisco Talos è riuscito a produrre un tool di decriptazione che riesce a rompere la routine di criptazione sia della prima versione, la 1.0 (che non ha avuto grande diffusione), sia per la 1.1 che ha visto invece una distribuzione ben più ampia. Il decryptor è disponibile qui (download al click): è necessario avere installato sul sistema Microsoft Visual C++ Redistributable for Visual Studio 2017, altrimenti verranno visualizzati errori di librerie DLL mancanti quando si tenta di avviare il tool.


A oggi il decryptor decripta i seguenti file:
 
  • Immagini: .gif, .tif, .tiff, .jpg, .jpeg, .png
  • Video: .mpg, .mpeg, .mp4, .avi
  • Audio: .wav
  • Documenti: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .odt, .ods, .odp, .rtf
  • Altri: .zip, .7z, .vmdk, .psd, .lnk

Cisco Talos raccomanda di usare il tool solo sulla stessa macchina dove è avvenuta l'infezione. Non possiamo garantire l'efficacia totale del tool in questione, ma i feedback degli utenti sono per la stragrande maggioranza positivi.