Petya, il ransomware che infetta il Master Boot Record


Un nuovo ransomware va ad aggiungersi alla già  lunga lista di prodotti particolarmente ostici e difficili da rimuovere: un ennesimo malware che – dopo le numerose varianti Troj/PHPRansm-B, Ransom32, CTB Locker, Cryptolocker, Locky ed il virus che blocca il sistema da remoto – cripta i dati del nostro hard disk direttamente all’avvio, mascherandosi da procedura di chkdsk e bloccando poi il sistema operativo (Windows) con una schermata minacciosa. I dati sono quindi inaccessibili sia in lettura che in scrittura, e viene richiesto un riscatto per riavere i propri dati. Con la potenza di calcolo in gioco oggi, purtroppo non ci sono molte possibilità  di invertire o riparare i danni fatti da questi virus, la cui prima variante risale al 1989: bisognerebbe indovinare senza alcun criterio un passcode tipicamente di almeno 2048 bit, il che è praticamente impossibile dato che, in molte situazioni, i malware cosଠsono programmati per cancellare tutti i dati dopo un certo numero di tentativi errati. La dinamica di diffusione del virus secondo l’analisi di Bleeping Computer – che ha rilevato per primo il problema – è nota: Petya si diffonde mediante link di DropBox tipicamente via email, molte delle quali rivolte al personale impiegato presso varie aziende. L’inganno consiste nel fare installare direttamente a loro il virus, mascherandolo come se fosse un software pulito.

Al momento attuale, come prassi purtroppo in questi casi (ed in questo momento storico), l’unico modo per liberarsi di Petya è quello di pagare il riscatto, cosa che non da’ alcuna garanzia del recupero dei dati, e che andrebbe valutata caso per caso. Per evitare queste situazioni, piuttosto, è bene ricordare che i dati importanti vanno sempre copiati a parte, mediante procedure di backup su drive esterni e possibilmente sconnessi dalla rete. Alcuni blog riportano una procedura per rimuovere l’avviso dal MBR, ma questo non recupera i dati – bensଠsi limita a togliere di mezzo la schermata di infezione.

Annuncio:
Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) .

Secondo ArsTechnica (che cita il blog del ricercatore tedesco Fabian Scherschel), l’unico modo per sbarazzarsi del ransomware Petya è quello di bloccarne il processo nella prima fase, quindi prima possibile. Inizialmente, infatti, il virus effettua un semplice XOR del Master Boot Record, motivo per cui basterebbe avviare il disco mediante un drive esterno e salvare cosଠtutti i dati minacciati. àˆ utile sapere, inoltre, che sui sistemi UEFI (che hanno sostituito il classico BIOS su molti sistemi Microsoft) il malware si limita a rendere il disco non avviabile, mentre i dati restano solitamente intatti. L’opzione più drastica rimane quella di formattare, il che non permette – chiaramente – di recuperare i dati criptati, ma solo di rendere nuovamente il computer utilizzabile.

Di seguito viene mostrato un esempio di infezione (fonte).

👇 Da non perdere 👇



Questo sito web esiste da 4549 giorni (12 anni), e contiene ad oggi 4117 articoli (circa 3.293.600 parole in tutto) e 18 servizi online gratuiti. – Leggi un altro articolo a caso
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.