Un decryptor per il ransomware LooCipher è stato messo a punto dallo Z-Lab di Yoroi (società del Gruppo Cybaze) che ha come obiettivo quello di impedire ai criminali informatici di sfruttare lo strumento di ricatto per minacciare organizzazioni e aziende. Le funzionalità di questo malware sono piuttosto semplici, e tuttavia capaci di eseguire campagne estorsive su larga scala.
LooCipher è infatti una famiglia di ransomware che si diffonde attraverso e-mail maligne che incorporano documenti Office infetti. Cifra tutti i file sul computer vittima, abusa dei servizi proxy di Clearnet-to-Tor per connettersi al suo Command and Control nascosto dietro i siti del servizio di anonimizzazione Tor, The Onion Router.
Per contrastare questa minaccia all’inizio di luglio il team Yoroi Z-Lab ha rilasciato pubblicamente un dettagliato rapporto su LooCipher in quanto il vettore iniziale lasciava prefigurare un’importante diffusione del software malevolo nei giorni successivi. Pochi giorni dopo i ricercatori di Fortinet hanno pubblicato un report su LooCipher focalizzato sull’algoritmo di crittografia. Yoroi ha fatto il resto ricostruendo la chiave originale per decrittare tutti i file interessati. Spesso le analisi sono sufficienti per bloccare temporaneamente i cyber-criminali condividendo gli indicatori di compromissione (Ioc) che consentono ad attori nazionali e internazionali (Isp, venditori Av, Cert) di bloccare le connessioni o di eliminare i file. Ma quando il ransomware colpisce una vittima, il desiderio finale è quello di essere in grado di decodificare quei file e ripristinare l’ultimo set di dati coerente. Il punto di svolta per la messa a punto del decrittatore, informano i ricercatori di Yoroi, era comprendere il modo in cui la chiave era codificata e, una volta recuperata la chiave offuscata, è stato possibile ricostruire quella originale per decrittare i file. La chiave master è disponibile direttamente in memoria nei segmenti LooCipher. Yoroi Z-Lab ricorda di non “killare” il processo se infettati e di non riavviare la finestra di Windows. Se si blocca il processo o si riavvia il sistema, il decrypter di Z-Lab Team non potrà funzionare. È possibile scaricare online il decryptor e usarlo gratuitamente.