5188 Letture

Petya ransomware, tante varianti per il malware che attacca il MBR

Si moltiplicano in Rete le varianti del ransomware Petya, malware che - diversamente dai "nomi noti" come CTBLocker, Locky e TeslaCrypt non cifra subito i file personali dell'utente ma, piuttosto, aggredisce il Master Boot Record (MBR) dell'hard disk o dell'unità SSD e prende in ostaggio tutto il contenuto del supporto di memorizzazione.

Petya, una volta eseguito sul sistema, si inserisce nel MBR e modifica il boot loader in esso presente sostituendolo con il suo. Dopo aver provocato il riavvio della macchina ingenerando un BSOD (schermata blu), il ransomware mostra quella che - all'apparenza - può sembrare un controllo degli errori a livello del file system (uno scandisk o chkdsk).
In realtà, la visualizzazione della schermata è causata da Petya che, nel frattempo, provvederà a crittografare tutto il contenuto della Master File Table (MFT).

Petya ransomware, tante varianti per il malware che attacca il MBR

La MFT è una sorta di "tavola dei contenuti" per le partizioni formattate NTFS (vedere anche Differenza tra NTFS, FAT32 e exFAT: ecco cosa cambia): essa ospita l'elenco dei file memorizzati sul disco e tutti i loro attributi.

Ne consegue che la cifratura della MFT operata da Petya inibisce l'accesso ai file perché tutte le informazioni relative ai nome dei file alle cartelle, ai permessi, alle date di modifica, alle dimensioni ed alla loro posizione nel disco (elenco dei blocchi o cluster contenenti il file) vengono appunto crittografate con una chiave sconosciuta all'utente.


Per fornire la chiave di decodifica, gli autori di Petya chiedono il versamento di una somma pari a 0,9 Bitcoin (al cambio circa 330 euro) previa connessione ad un sito raggiungibile solo attraverso la rete Tor (si può usare Tor Browser: Tor Browser, ecco come si usa).




Per evitare di perdere i propri dati, è assolutamente sconsigliato sovrascrivere il MBR. In caso di infezione, armandosi di molta pazienza, l'unico tentativo effettuabile per il ripristino dei propri file o di parte di essi, consiste nell'utilizzo di un software per il recupero dati come Photorec, da avviare al boot del sistema: Come recuperare file cancellati con il nuovo PhotoRec.
Si perderanno tutti gli attributi dei file (essendo la MFT danneggiata; crittografata in questo caso) ma, verosimilmente, si potranno recuperare tutti i documenti personali.

Nel caso di Petya - come indicato in questo suggerimento sul nostro forum - e come spiegato nell'articolo Schermata blu in Windows: che cosa può provocarne la comparsa, la disattivazione della casella Riavvia automaticamente consente di "salvarsi".
Attivando tale impostazione, infatti, alla comparsa della schermata blu, il sistema non si riavvia automaticamente non provocando l'immediato caricamento del boot loader malevolo e la cifratura della MFT.
Ovviamente, si dovrà prima procedere ad un backup dei dati disconnettendo fisicamente l'hard disk quindi procedere alla disinfezione del MBR con un supporto di boot.

Per proteggersi da Petya e dagli altri ransomware, comunque, i migliori consigli sono quelli pubblicati nell'articolo Proteggersi da Cryptolocker, TeslaCrypt e dai ransomware in generale.


Per maggiori informazioni, è possibile fare riferimento all'analisi tecnica pubblicata da Malwarebytes.

  1. Avatar
    unax
    13/05/2016 18:49:22
    adesso sono 28 che lo riconoscono
  2. Avatar
    Sampei Nihira
    12/04/2016 17:56:26
    Citazione: Peccato... Grazie comunque lo stesso Sampei per tutti i consigli che dai riguardanti XP. Colgo l'occasione anche se OT: hai voglia e tempo di pubblicare una guida esaustiva e riassuntiva (senza dover cercare nel Forum le tue "perle di saggezza") con tutti i tricks di sicurezza che hai applicato al tuo XP? Purtroppo sono uno dei tanti che continueranno ad usare quel sistema operativo non potendo o volendo cambiare altri programmi che girano solo sotto XP e la cosa mi tornerebbe molto utile. Un saluto. Massimo.
    :approvato: Nel 3D sulla configurazione di sicurezza ci sono molti consigli. Capisco che sono troppe pagine da leggere....... :adoro: Quì oltretutto siamo un pò OT. Comunque cercherò nel possibile di pubblicare nuovamente la mia configurazione di sicurezza. Purtroppo non ho modo di fare un filmato di ogni aspetto (sopratutto il browser) perchè il mio XP ha poche chance nell'aspetto multimediale ed inoltre il sw che preferisco usare necessita dei NET che ho disinstallato. Ed inoltre il filmato sarebbe certamente noioso perchè troppo lungo !! :D Senza contare la fatica perchè a parte tu,io,e Lepo.............. P.S. Seguimi nel 3D dedicato ad XP in questo sottoforum mi hai dato un'idea......
  3. Avatar
    MasVjn
    12/04/2016 11:23:32
    Peccato... Grazie comunque lo stesso Sampei per tutti i consigli che dai riguardanti XP. Colgo l'occasione anche se OT: hai voglia e tempo di pubblicare una guida esaustiva e riassuntiva (senza dover cercare nel Forum le tue "perle di saggezza") con tutti i tricks di sicurezza che hai applicato al tuo XP? Purtroppo sono uno dei tanti che continueranno ad usare quel sistema operativo non potendo o volendo cambiare altri programmi che girano solo sotto XP e la cosa mi tornerebbe molto utile. Un saluto. Massimo.
  4. Avatar
    Sampei Nihira
    11/04/2016 18:42:46
    Citazione: Per favore Sampei puoi spiegare meglio la procedura che citi? Ho provato a cercare con regedit inserendo come chiave quella da te evidenziata, ma senza risultato (S.O. XP con modifica POS). Grazie e cordiali saluti. Massimo.
    Purtroppo,caro Massimo, quella procedura come la chiami tu non è applicabile al nostro OS.
  5. Avatar
    MasVjn
    11/04/2016 18:23:57
    Per favore Sampei puoi spiegare meglio la procedura che citi? Ho provato a cercare con regedit inserendo come chiave quella da te evidenziata, ma senza risultato (S.O. XP con modifica POS). Grazie e cordiali saluti. Massimo.
  6. Avatar
    unax
    11/04/2016 16:29:29
    Citazione: L'utente Leostone ha avuto successo su Petya. Tutti i migliori complimenti.
    http://www.bleepingcomputer.com/news/se ... -released/ sembra meno robusto di quello che sembrava anche se la procedura per trovare la chiave è scocciante per un utente normale
  7. Avatar
    Sampei Nihira
    11/04/2016 13:32:16
    L'utente Leostone ha avuto successo su Petya. Tutti i migliori complimenti.
  8. Avatar
    Sampei Nihira
    05/04/2016 18:42:56
    Anche Petya è non firmato. Come la stragrande maggioranza dei ransomware per non dire quasi tutti. Quindi la semplicissima modifica alla chiave di registro: "Validate Admin Code signatures" set to 1 oltretutto "modifica & dimentica" sopratutto se se nei nostri pc si usano solamente sw firmati consente di avere una protezione efficace e semplice visto che sfrutta una caratteristica presente nel sistema stesso.
  9. Avatar
    unax
    04/04/2016 15:47:52
    il problema è che quando avviene un BSOD uno non sa che è stato causato da PEYTA e quindi anche se ci fosse l'impostazione di non riavviare automaticamente la maggior parte degli utenti riavvierebbe manualmente e quindi se MBR è infetto la criptazione del MFT avverrebbe ugualmente
Petya ransomware, tante varianti per il malware che attacca il MBR - IlSoftware.it