Petya, nuovo ransomware si installa nel boot record e blocca l'hard-disk

Lo abbiamo già detto più volte, i ransomware sono probabilmente i malware del momento. Il motivo è semplicissimo: un ransomware chiede un riscatto dei file presi in ostaggio sul sistema, e rappresenta probabilmente la tipologia di software malevolo che garantisce all'aggressore un guadagno più semplice e diretto possibile. Una volta che attecchisce sulla macchina blocca parte dei dati sull'hard-disk e chiede un riscatto per "liberare" la chiave che serve per la decodifica degli stessi.

Lawrence Abrams di BleepingComputer ha analizzato un nuovo ransomware in circolazione, noto con il nome di Petya. La sua peculiarità è che prende di mira l'intero drive di avvio del sistema e protegge con crittografia il MFT, il Master File Table, ovvero il luogo di un disco formattato come NTFS in cui sono registrate tutte le informazioni di ogni singolo file o cartella. Fino ad oggi Petya è stato consegnato soprattutto ad agenzie tedesche via e-mail attraverso collegamenti Dropbox.

Vengono presi di mira soprattutto i dipartimenti delle risorse umane, i cui dipendenti sono spinti all'esecuzione del software. Se si lancia l'allegato Windows avverte della potenziale pericolosità dell'eseguibile, ma se l'utente procede con l'istallazione Petya si insinua nel MBR (Master Boot Record) del computer, con il sistema che si riavvia eseguendo un falso CHKDSK di Windows, con il messaggio: "One of your disks contains errors and needs to be repaired".

Completata la finta operazione, il software mostra una schermata raffigurante un teschio in caratteri ASCII annunciando che l'utente è diventato "una vittima del Ransomware Petya". Non mancano le classiche informazioni sulle procedure da seguire per ripristinare il normale uso del disco attraverso alcuni servizi nascosti su rete Tor. Nel caso mostrato da Abrams gli aggressori avevano richiesto circa 0,9 Bitcoin, circa 330€ al cambio attuale, per il ripristino del sistema.

Secondo quanto riportato da Abrams l'unico metodo per riottenere i dati dell'hard-disk sarebbe quello di pagare gli aggressori, nonostante molti siti sostengano che Petya possa essere sistemato anche in seguito alla sua installazione correggendo gli errori apportati nel MBR: "Questo rimuove la schermata di blocco", fa però notare Abrams. "Ma non decifrerà il MFT e i tuoi file e l'installazione di Windows rimarrà inaccessibile. La riparazione del MBR è utile solo se non vi interessa recuperare i file perduti e siete disposti a reinstallare Windows".

Secondo Fabian Scherschell di Heise Security la cifratura eseguita da Petya nel suo primo stadio è in realtà semplicemente aggirabile. Se preso in questa fase i dati possono essere facilmente recuperati avviando il sistema da un'altra unità di storage. Su UEFI, inoltre, Petya può semplicemente danneggiare le informazioni per l'avvio, rendendo impossibile l'avvio della macchina ma non riuscendo a decifrare alcun contenuto archiviato nei suoi drive locali.

Il consiglio è comunque sempre lo stesso: proteggersi con software specifici ma soprattutto, vista l'ondata di ransomware degli ultimi mesi, disporre continuamente di un backup aggiornato di tutti i propri file. È proprio questa la misura più adatta per proteggersi a 360° da un cryptovirus.