c.m.g
13-04-2016, 10:55
mercoledì 13 aprile 2016
Uno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica
Roma - Analizzando il "sequestro" crittografico del disco fisso operato da Petya (http://punto-informatico.it/4309007/PI/News/petya-ransomware-master-boot-record.aspx), un ricercatore noto come leostone è riuscito a crackare il codice del malware e a permettere agli utenti infetti di riprendere il controllo dei dischi fissi.
Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.
A quanto ha scoperto leostone, però, il payload di codifica del ransomware non è perfetto (http://betanews.com/2016/04/10/free-petya-password-generator/), anzi tutt'altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64 (https://it.wikipedia.org/wiki/Base64)), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all'avvio del malware tramite un apposito sito Web (https://petya-pay-no-ransom.herokuapp.com/). L'estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool (http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip) da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.
Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone, anche se le cose potrebbero cambiare (http://www.theregister.co.uk/2016/04/12/petya_ransomware_free_fixit_tool/) piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4311883/PI/News/petya-decodificato-ransomware.aspx)
Uno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica
Roma - Analizzando il "sequestro" crittografico del disco fisso operato da Petya (http://punto-informatico.it/4309007/PI/News/petya-ransomware-master-boot-record.aspx), un ricercatore noto come leostone è riuscito a crackare il codice del malware e a permettere agli utenti infetti di riprendere il controllo dei dischi fissi.
Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.
A quanto ha scoperto leostone, però, il payload di codifica del ransomware non è perfetto (http://betanews.com/2016/04/10/free-petya-password-generator/), anzi tutt'altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64 (https://it.wikipedia.org/wiki/Base64)), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all'avvio del malware tramite un apposito sito Web (https://petya-pay-no-ransom.herokuapp.com/). L'estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool (http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip) da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.
Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone, anche se le cose potrebbero cambiare (http://www.theregister.co.uk/2016/04/12/petya_ransomware_free_fixit_tool/) piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4311883/PI/News/petya-decodificato-ransomware.aspx)