Petya, il ransomware che infetta il Master Boot Record

Petya, il ransomware che infetta il Master Boot Record

Un nuovo ransomware va ad aggiungersi alla già lunga lista di prodotti particolarmente ostici e difficili da rimuovere: un ennesimo malware che – dopo le numerose varianti Troj/PHPRansm-B, Ransom32, CTB Locker, Cryptolocker, Locky ed il virus che blocca il sistema da remoto – cripta i dati del nostro hard disk direttamente all’avvio, mascherandosi da procedura di chkdsk e bloccando poi il sistema operativo (Windows) con una schermata minacciosa. I dati sono quindi inaccessibili sia in lettura che in scrittura, e viene richiesto un riscatto per riavere i propri dati. Con la potenza di calcolo in gioco oggi, purtroppo non ci sono molte possibilità di invertire o riparare i danni fatti da questi virus, la cui prima variante risale al 1989: bisognerebbe indovinare senza alcun criterio un passcode tipicamente di almeno 2048 bit, il che è praticamente impossibile dato che, in molte situazioni, i malware così sono programmati per cancellare tutti i dati dopo un certo numero di tentativi errati. La dinamica di diffusione del virus secondo l’analisi di Bleeping Computer – che ha rilevato per primo il problema – è nota: Petya si diffonde mediante link di DropBox tipicamente via email, molte delle quali rivolte al personale impiegato presso varie aziende. L’inganno consiste nel fare installare direttamente a loro il virus, mascherandolo come se fosse un software pulito.

Al momento attuale, come prassi purtroppo in questi casi (ed in questo momento storico), l’unico modo per liberarsi di Petya è quello di pagare il riscatto, cosa che non da’ alcuna garanzia del recupero dei dati, e che andrebbe valutata caso per caso. Per evitare queste situazioni, piuttosto, è bene ricordare che i dati importanti vanno sempre copiati a parte, mediante procedure di backup su drive esterni e possibilmente sconnessi dalla rete. Alcuni blog riportano una procedura per rimuovere l’avviso dal MBR, ma questo non recupera i dati – bensì si limita a togliere di mezzo la schermata di infezione.

Secondo ArsTechnica (che cita il blog del ricercatore tedesco Fabian Scherschel), l’unico modo per sbarazzarsi del ransomware Petya è quello di bloccarne il processo nella prima fase, quindi prima possibile. Inizialmente, infatti, il virus effettua un semplice XOR del Master Boot Record, motivo per cui basterebbe avviare il disco mediante un drive esterno e salvare così tutti i dati minacciati. È utile sapere, inoltre, che sui sistemi UEFI (che hanno sostituito il classico BIOS su molti sistemi Microsoft) il malware si limita a rendere il disco non avviabile, mentre i dati restano solitamente intatti. L’opzione più drastica rimane quella di formattare, il che non permette – chiaramente – di recuperare i dati criptati, ma solo di rendere nuovamente il computer utilizzabile.

Di seguito viene mostrato un esempio di infezione (fonte).

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.