Ransomware Petya crackato, file crittografati restituiti senza riscatto
Petya è uno dei tanti ransomware disponibili in circolazione che blocca l'accesso ai file contenuti in attesa del pagamento di un riscatto. Si tratta di uno dei cryptovirus più minacciosi perché attacca il Master Boot Record e oscura con crittografia il Master File Table. È stato tuttavia crackato nelle scorse ore, consentendo agli utenti colpiti di sbloccare le unità di archiviazione senza pagare
di Nino Grasso pubblicato il 12 Aprile 2016 nel canale SicurezzaPetya crackato: Bleeping Computer rivela come proteggersi
Nel corso degli ultimi mesi abbiamo avvistato varie ondate di ransomware e cryptovirus, come abbiamo già visto in questo approfondimento, con gli esperti di sicurezza che hanno informato gli utenti circa le (poche) metodologie che possono applicare per mettersi al riparo da eventuali problemi irrisolvibili. I ransomware utilizzano spesso una protezione crittografica per bloccare i file su un hard-disk, chiedendo in seguito un riscatto per garantirne nuovamente l'accesso al proprietario. Si parla di cifre che variano dalle centinaia alle decine di migliaia di euro in caso di dati sensibili e l'unico modo di riottenere i file è pagare, soprattutto se non sono state adottate preventivamente le corrette misure di sicurezza. Ma non è più così per fortuna per l'ultimo, temibile, ransomware in circolazione che si installava nel MBR del PC hackerato: Petya.
Il ransomware è stato infatti "sconfitto" da un utente Twitter noto come @leo-and-stone. Il funzionamento del tool è stato, infatti, confermato dalla stessa Bleeping Computer che lo aveva rivelato a fine marzo (qui maggiori dettagli). Un malware insidioso perché non bloccava l'accesso a singoli file contenuti nell'hard-disk, ma proteggeva con una chiave crittografica il Master File Table del PC, l'area di un disco formattato come NTFS in cui sono registrate tutte le informazioni di ogni singolo file o cartella. La chiave per sbloccare i dati era ovviamente nascosta all'utente, che non aveva molta scelta, se non pagare, per riavere indietro l'accesso ai contenuti dell'hard-disk. Diffuso soprattutto presso i dipartimenti delle risorse umane di aziende tedesche, ma non solo, Petya e i suoi creatori hanno cercato di sfruttare la noncuranza degli impiegati al lavoro negli uffici.
I veicoli preferiti erano e-mail di phishing con allegati malevoli che applicavano il malware quando eseguiti. L'esecuzione del file comporta l'installazione di Petya nel MBR, il Master Boot Record, dell'unità di storage. Completata l'operazione il sistema viene riavviato ed esegue automaticamente un falso CHKDSK di Windows che si completa con un avviso che informa della presenza di errori sul disco. È dopo questa messa in scena che compare l'ormai celebre teschio in caratteri ASCII di Petya, il quale preannuncia all'utente di essere diventato "una vittima del Ransomware". Nel messaggio la vittima può leggere le procedure da applicare per riavere il controllo dei dati del disco attraverso alcuni servizi nascosti su rete Tor e pagando un quantitativo di denaro che può variare in base alla delicatezza dei file contenuti sul computer.
Nel caso mostrato da Bleeping Computer poche settimane fa si parlava di 0,9 Bitcoin, pari a circa 330€ al cambio. Molti siti sostenevano allora che Petya fosse in realtà facilmente aggirabile correggendo gli errori prodotti nel MBR. Tuttavia Bleeping Computer precisava che l'operazione avrebbe rimosso la schermata di blocco, ma non decifrato la chiave crittografica che bloccava il MFT né ripristinato i file contenuti nell'unità. In altre parole Petya poteva essere facilmente rimosso sul PC violato, ma tutti i file in esso contenuti sarebbero stati irrimediabilmente perduti. Almeno fino a lunedì, quando l'utente @leo-and-stone ha rilasciato un tool (che si può trovare qui e qui, anche se i server sono down al momento in cui scriviamo probabilmente per i troppi tentativi d'accesso) che permette di ottenere la chiave crittografica di Petya in pochi istanti.
Questa consente di sbloccare il Master Boot Record dell'unità di avvio del sistema coinvolto e quindi permette di aggirare Petya senza rinunciare ai file presenti sulla macchina. Per usare questa sorta di keygen è comunque necessario rimuovere l'hard-disk sul computer violato e collegarlo ad un computer non infetto basato su sistema operativo Windows. A questo punto l'utente dovrà estrarre dei dati: "512 bytes partendo dal settore 55 (0x37h) con un offset di 0, e 8 byte partendo dal settore 54 (0x36) con offset 33 (0x21)", scrive Bleeping Computer. Questi dati devono poi essere convertiti con un encoding Base64 ed inseriti sulla webapp di leostone. Si tratta di un'operazione certamente non alla portata di tutti, ma che può essere eseguita facilmente con il tool Petya Sector Extractor sviluppato da un altro ricercatore, Fabian Wosar.
Bleeping Computer ha provato la procedura e ha segnalato che è corretta, ed ha anche fornito un tutorial passo-passo che può aiutare gli utenti i cui computer sono stati colpiti da Petya. Il caso del nuovo ransomware è molto interessante dal momento che racchiude i vantaggi e gli svantaggi della categoria di malware, sia per le vittime che per gli aggressori. Un ransomware attecchisce con relativa semplicità e rapidità sulla macchina, il tutto in maniera silente. Tuttavia nel caso di Petya e in molti altri casi la chiave crittografica che serve per sbloccare i contenuti risiede nella macchina della vittima, ed è in ogni momento disponibile, anche se protetta, per il suo proprietario. È per questo che la vittima può scoprire la chiave usata da Petya e sbloccare i dati senza pagare.
La procedura rivelata da @leo-and-stone funziona, tuttavia è probabile che il team di sviluppo alla base di Petya possa rapidamente correggere la vulnerabilità del sistema e renderlo inattaccabile dagli strumenti disponibili oggi. Proprio per questo non possiamo che chiudere l'articolo con il solito consiglio di sempre: l'unico metodo che ci rende invulnerabili ad un ransomware è avere una solida metodica di backup. Disporre di un backup continuamente aggiornato all'interno di un'unità di archiviazione non sempre collegata alla macchina è la procedura più adatta per proteggersi in maniera assoluta da un cryptovirus, una procedura da attuare assolutamente in caso di presenza di file importanti e sensibili sul computer in uso.
11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoLo dico perchè in questo articolo si parla dei dipartimenti delle risorse umane di diverse aziende tedesche, possibile che siano deficenti solo gli impiegati di quei settori ad aprire mail sospette nella rete dell'azienda?
Lo dico perchè in questo articolo si parla dei dipartimenti delle risorse umane di diverse aziende tedesche, possibile che siano deficenti solo gli impiegati di quei settori ad aprire mail sospette nella rete dell'azienda?
Ti assicuro che ci sono tantissimi inetti in giro.
Anche qui da me in azienda lo hanno preso, c'è gente che ancora crede alle email di phishing di cartasi, poste o paypal scritte con errori grammaticali. Un po' ignoranza, un po' analfabetismo, un po' pigrizia, un po' demenza. Ma sono tanti i coglioni.
Lo dico perchè in questo articolo si parla dei dipartimenti delle risorse umane di diverse aziende tedesche, possibile che siano deficenti solo gli impiegati di quei settori ad aprire mail sospette nella rete dell'azienda?
assolutamente si. i babbi ci sono ed abboccano ad ogni cosa.
Lo dico perchè in questo articolo si parla dei dipartimenti delle risorse umane di diverse aziende tedesche, possibile che siano deficenti solo gli impiegati di quei settori ad aprire mail sospette nella rete dell'azienda?
Tu romperesti gli strumenti (cacciaviti, chiavi a bussola, estrattori ecc) ai tuoi colleghi meccanici della tua stessa azienda così da non poter riparare le auto dei vostri clienti?
Rasoio di Hanlon :
Non attribuire mai a malafede quel che si può ragionevolmente spiegare con la stupidità
la disinformazione è massima sotto questi punti di vista, e NESSUNO ne pone rimedio, per il semplice fatto che con l'utente formato e informato, il sistema per far girare tali dindini crolla, come quello dei sistemi operativi.
cito nuovamente da un moto film di qualche anno fa
"software di mie@#a!"
l'han presa nel di dietro mi sa
Anche qui da me in azienda lo hanno preso, c'è gente che ancora crede alle email di phishing di cartasi, poste o paypal scritte con errori grammaticali. Un po' ignoranza, un po' analfabetismo, un po' pigrizia, un po' demenza. Ma sono tanti i coglioni.
Amen, ahah, quant'è vero
la disinformazione è massima sotto questi punti di vista, e NESSUNO ne pone rimedio, per il semplice fatto che con l'utente formato e informato, il sistema per far girare tali dindini crolla, come quello dei sistemi operativi.
cito nuovamente da un moto film di qualche anno fa
"software di mie@#a!"
Non esiste rimedio volontario se non ci sono norme (chiare) che lo impongono, a meno di una amministrazione attenta per esperienza e lungimirante (raro)
Nella Pubblica amministrazione o nelle aziende private, per chi ha compiti da svolgere su Personal Computer e strumenti informatici, sarebbe opportuno un corso di formazione OBBLIGATORIO, pena la non assunzione. Ci dovrebbe pensare la scuola dell'obbligo?... lasciamo perdere, persino alle superiori ci sono insegnanti deficienti...quindi chi lo fa?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".