Petya è uno dei recenti e pericolosi ransomware che sono stati rilevati e che si stanno diffondendo anche adesso attraverso Internet. Tuttavia in queste ultime ore sono emerse informazioni molto interessanti riguardo a Petya: Fabian Scherschel della Heise Security ha redatto un’analisi – la trovate a questo link, ma è disponibile solo in tedesco – di questo malware riportando che la prima cifratura utilizzata da Petya sul Master Boot Record sfrutta una semplice operazione XOR. Se si interviene in questa prima fase, Fabian Scherschel sostiene che è possibile recuperare i dati eseguendo il boot da un altro disco ed eseguendo il backup dei dati. Sui sistemi che utilizzano partizioni Uefi, sembrerebbe che Petya danneggi le informazioni di boot del disco – rendendolo non avverabile – senza però cifrarne il contenuto.
Il mese di marzo ha visto l’esplosione di numerosi focolai di ransomware che hanno colpito attraverso le metodologie più disparate, ma sempre con un unico scopo: estorcere denaro per rientrare in possesso dei propri dati.
A questo link potete leggere la notizia riguardante il rapporto di F-Secure sulle minacce informatiche degli ultimi dodici mesi.
Conosciamo meglio Petya
A differenza delle più diffuse varianti di ransomware in circolazione, Petya non esegue la cifratura di dati in modo selettivo e lasciando che il computer della vittima resti operativo per facilitare il tentativo di estorcere denaro in cambio della chiave necessaria decifrare i dati cifrati. Già , perché Petya va oltre e di molto in quanto esegue la cifratura della Master File Table (MFT).
La Master File Table è il luogo in cui sono registrate tutte le informazioni su ogni file e directory di un volume formattato come NTFS. La MFT è, in sostanza, un database relazionale, contenente gli attributi relativi ai file presenti sul disco. Agisce come “punto di partenza” e funziona come il gestore centrale di un volume NTFS, una sorta di “tavola dei contenuti” per il volume.
Petya è veicolato attraverso link legittimi a file presenti su cartelle Dropbox e i primi obiettivi sono stati i responsabili dei dipartimenti IT di alcune società con sede in Germania. Lanciando il file legato al link arrivato via mail, l’utente riceve un avviso di sicurezza da parte di Windows; se l’utente clicca su continua, Petya viene inserito nel Master Boot Record (MBR) del disco e il computer della vittima viene riavviato. Al riavvio del sistema, il malware – mascherato da finto controllo CHKDSK su presunti errori nei dati del disco – lavora sulla MFT e poi mostra una schermata con un teschio rosso e ossa incrociate in codice Ascii e avverte l’utente che è una vittima del ransomware Petya. A questo punto, alla pressione di un qualunque tasto, la schermata del teschio è sostituita con quella dove all’utente vengono fornite le indicazioni per pagare il riscatto e ottenere così le istruzioni e la chiave per decifrare la Master File Table e rientrare in possesso del controllo del Pc e di tutti i propri dati.
Ecco un video che mostra come agisce Petya
Fino a poche ore fa, prima dell’analisi redatta da Fabian Scherschel, l’unico modo per recuperare i dati dopo essere stati infettati da Petya era quello di pagare il riscatto.
Attenzione: non riparate il Master Boot Record del disco infettato da Petya, a meno che non siate interessati a recuperare i file presenti sul disco. Questa operazione rimuove la schermata di blocco, ma non permette di decifrare la Master File Table e di recuperare quindi la struttura delle directory del disco e la locazione dei file.