FTdecryptor: un tool per decifrare i file in ostaggio da FTCODE

24/10/2019

decryptor ftcode suricata

I ricercatori Certego hanno pubblicato i dettagli di un tool sviluppato internamente per tentare di riportare allo stato originale i file cifrati dal noto ransomware FTCODE (v. 1018.1) che nelle ultime campagne è stato veicolato sfruttando numerose caselle di posta PEC precedentemente compromesse.

Come funziona il tool

Va precisato che un requisito essenziale per procedere con la decodifica è la presenza di sistemi di tipo IDS (Intrusion Detection System) e/o IPS (Intrution Prevention System) nell’infrastruttura oggetto di attacco. Nell’esempio mostrato viene utilizzato il prodotto open source “Suricata” per il quale sono state rilasciate apposite regole per la detection della richiesta del ransomware ftcode.

Di seguito un esempio della richiesta POST verso il server C&C. In evidenza i parametri passati attraverso la richiesta:

Fonte: Certego

In questo contesto, il lavoro svolto da apparati come Suricata o simili è quindi quello di monitorare il traffico network al fine di intercettare la chiave utilizzata per la cifratura nel momento in cui il malware contatta il C&C. Come è possibile osservare dallo screenshot, con ext viene indicata l’estensione utilizzata per i file cifrati, con ek il valore della password il chiaro e con r1 la password crifrata convertita in base64.

Una volta in possesso della chiave potrà essere applicato l’algoritmo di decifratura per liberare i file senza pagare riscatto.

In sintesi

  • Occorre entrare in possesso della chiave segreta di ftcode;
  • Il tool è in versione beta e non è detto funzioni anche con le future versioni di ftcode;
  • Eventuali test vanno rigorosamente effettuati su una copia di backup dei file cifrati.