Petya, nuovo ransomware si installa nel boot record e blocca l'hard-disk

Petya, nuovo ransomware si installa nel boot record e blocca l'hard-disk

Un nuovo ransomware è in grado di attecchire nel MBR del sistema e impedirne l'avvio. Per proteggersi basta eseguire le solite procedure

di pubblicata il , alle 12:01 nel canale Sicurezza
 

Lo abbiamo già detto più volte, i ransomware sono probabilmente i malware del momento. Il motivo è semplicissimo: un ransomware chiede un riscatto dei file presi in ostaggio sul sistema, e rappresenta probabilmente la tipologia di software malevolo che garantisce all'aggressore un guadagno più semplice e diretto possibile. Una volta che attecchisce sulla macchina blocca parte dei dati sull'hard-disk e chiede un riscatto per "liberare" la chiave che serve per la decodifica degli stessi.

Petya, nuovo ransomware cifra tutto l'hard-disk

Lawrence Abrams di BleepingComputer ha analizzato un nuovo ransomware in circolazione, noto con il nome di Petya. La sua peculiarità è che prende di mira l'intero drive di avvio del sistema e protegge con crittografia il MFT, il Master File Table, ovvero il luogo di un disco formattato come NTFS in cui sono registrate tutte le informazioni di ogni singolo file o cartella. Fino ad oggi Petya è stato consegnato soprattutto ad agenzie tedesche via e-mail attraverso collegamenti Dropbox.

Vengono presi di mira soprattutto i dipartimenti delle risorse umane, i cui dipendenti sono spinti all'esecuzione del software. Se si lancia l'allegato Windows avverte della potenziale pericolosità dell'eseguibile, ma se l'utente procede con l'istallazione Petya si insinua nel MBR (Master Boot Record) del computer, con il sistema che si riavvia eseguendo un falso CHKDSK di Windows, con il messaggio: "One of your disks contains errors and needs to be repaired".

Completata la finta operazione, il software mostra una schermata raffigurante un teschio in caratteri ASCII annunciando che l'utente è diventato "una vittima del Ransomware Petya". Non mancano le classiche informazioni sulle procedure da seguire per ripristinare il normale uso del disco attraverso alcuni servizi nascosti su rete Tor. Nel caso mostrato da Abrams gli aggressori avevano richiesto circa 0,9 Bitcoin, circa 330€ al cambio attuale, per il ripristino del sistema.

Secondo quanto riportato da Abrams l'unico metodo per riottenere i dati dell'hard-disk sarebbe quello di pagare gli aggressori, nonostante molti siti sostengano che Petya possa essere sistemato anche in seguito alla sua installazione correggendo gli errori apportati nel MBR: "Questo rimuove la schermata di blocco", fa però notare Abrams. "Ma non decifrerà il MFT e i tuoi file e l'installazione di Windows rimarrà inaccessibile. La riparazione del MBR è utile solo se non vi interessa recuperare i file perduti e siete disposti a reinstallare Windows".

Secondo Fabian Scherschell di Heise Security la cifratura eseguita da Petya nel suo primo stadio è in realtà semplicemente aggirabile. Se preso in questa fase i dati possono essere facilmente recuperati avviando il sistema da un'altra unità di storage. Su UEFI, inoltre, Petya può semplicemente danneggiare le informazioni per l'avvio, rendendo impossibile l'avvio della macchina ma non riuscendo a decifrare alcun contenuto archiviato nei suoi drive locali.

Il consiglio è comunque sempre lo stesso: proteggersi con software specifici ma soprattutto, vista l'ondata di ransomware degli ultimi mesi, disporre continuamente di un backup aggiornato di tutti i propri file. È proprio questa la misura più adatta per proteggersi a 360° da un cryptovirus.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

53 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
demon7731 Marzo 2016, 12:18 #1
Premesso che sti figli di.. li impalerei con gioia sulla pubblica piazza..

Ma in questo caso si potrebbe pure recuperare i dati con un programma per il recupero di dischi danneggiati.. o no?
Sarebbe come un hdda cui è saltato l'mbr, ma i dati di fatto sono ancora tutti li. Non è come gli altri che criptano i file veri e propri..
TheMonzOne31 Marzo 2016, 12:20 #2
No, viene criptata anche la MTF, non viene semplicemente corrotto l'MBR.
Altrimenti basterebbe tirare fuori il disco, infilarlo in un box usb e riversarne in contenuto su un altro.
Oppure avviare una Live Linux, montare il disco in lettura, e copiare il contenuto su un'unità esterna.
Criptando la MTF credo che, in entrambe i casi, il disco risulti vuoto o quanto meno illeggibile.
traider31 Marzo 2016, 12:44 #3
Quale è il miglior antivirus gratuito non invasivo per windows 10 ? .
demon7731 Marzo 2016, 12:52 #4
Originariamente inviato da: TheMonzOne
No, viene criptata anche la MTF, non viene semplicemente corrotto l'MBR.
Altrimenti basterebbe tirare fuori il disco, infilarlo in un box usb e riversarne in contenuto su un altro.
Oppure avviare una Live Linux, montare il disco in lettura, e copiare il contenuto su un'unità esterna.
Criptando la MTF credo che, in entrambe i casi, il disco risulti vuoto o quanto meno illeggibile.


Si ok. Ma se usi un programma per il recupero dati da dischi danneggiati i files li recuperi senza problemi. Sono fatti apposta..
Se ne trovano anche gratuiti piuttosto buoni.
demon7731 Marzo 2016, 12:54 #5
Originariamente inviato da: traider
Quale è il miglior antivirus gratuito non invasivo per windows 10 ? .


Io uso Avira Free, è il migliore tra leggerezza ed efficacia.. almeno da comparazioni dello scorso anno.
Resta il fatto che nessun antivirus fa miracoli. Quello che non deve cascarci sei tu.

E se ci caschi è tassativo avere un buon backup su disco esterno aggiornato regolarmente.
Blake8631 Marzo 2016, 13:01 #6
Originariamente inviato da: traider
Quale è il miglior antivirus gratuito non invasivo per windows 10 ? .


l'utente
TheMonzOne31 Marzo 2016, 13:03 #7
Originariamente inviato da: demon77
Si ok. Ma se usi un programma per il recupero dati da dischi danneggiati i files li recuperi senza problemi. Sono fatti apposta..
Se ne trovano anche gratuiti piuttosto buoni.

I programmi di recupero dati si appoggiano sulla MFT per recuperare i dati. Quando un file viene cancellato non viene "fisicamente" rimosso dal disco, ma viene rimosso il suo riferimento dalla MFT. I programmi di recupero scandagliano il disco appoggiandosi ad essa e ripristinando il riferimento. Se la MFT è illeggibile (perchè criptata) non recuperi un bel niente... altrimenti questo ransomware avrebbe ben poca vita e possibilità di far guadagnare il suo creatore.
GTKM31 Marzo 2016, 13:04 #8
Come ha scritto demon77, se i file non sono criptati, è sufficiente usare tool che non fanno altro che copiare, bit a bit, il contenuto dell'hard disk.
TheMonzOne31 Marzo 2016, 13:08 #9
Ma siamo sicuri? Allora sto coso è una porcata...e il Sig. Lawrence Abrams un incompetente dato che non ha proposto una soluzione così semplice ( o forse non la riporta l'articolo? )
Dall'articolo linkato:
As already stated, there is currently no way to decrypt your drive for free at this time. Researchers are analyzing this ransomware, though, so it may be possible in the future
GTKM31 Marzo 2016, 13:13 #10
Originariamente inviato da: TheMonzOne
Ma siamo sicuri? Allora sto coso è una porcata...e il Sig. Lawrence Abrams un incompetente dato che non ha proposto una soluzione così semplice ( o forse non la riporta l'articolo? )
Dall'articolo linkato:


Ovviamente potrei aver detto una minc*iata eh...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^