Petya, il ransomware che infetta il Master Boot Record

Aggiornato il: 28-04-2021 22:28
Un nuovo ransomware va ad aggiungersi alla già  lunga lista di prodotti particolarmente ostici e difficili da rimuovere: un ennesimo malware che – dopo le numerose varianti Troj/PHPRansm-B, Ransom32, CTB Locker, Cryptolocker, Locky ed il virus che blocca il sistema da remoto – cripta i dati del nostro hard disk direttamente all’avvio, mascherandosi da procedura di chkdsk e bloccando poi il sistema operativo (Windows) con una schermata minacciosa. I dati sono quindi inaccessibili sia in lettura che in scrittura, e viene richiesto un riscatto per riavere i propri dati. Con la potenza di calcolo in gioco oggi, purtroppo non ci sono molte possibilità  di invertire o riparare i danni fatti da questi virus, la cui prima variante risale al 1989: bisognerebbe indovinare senza alcun criterio un passcode tipicamente di almeno 2048 bit, il che è praticamente impossibile dato che, in molte situazioni, i malware cosଠsono programmati per cancellare tutti i dati dopo un certo numero di tentativi errati. La dinamica di diffusione del virus secondo l’analisi di Bleeping Computer – che ha rilevato per primo il problema – è nota: Petya si diffonde mediante link di DropBox tipicamente via email, molte delle quali rivolte al personale impiegato presso varie aziende. L’inganno consiste nel fare installare direttamente a loro il virus, mascherandolo come se fosse un software pulito.

Al momento attuale, come prassi purtroppo in questi casi (ed in questo momento storico), l’unico modo per liberarsi di Petya è quello di pagare il riscatto, cosa che non da’ alcuna garanzia del recupero dei dati, e che andrebbe valutata caso per caso. Per evitare queste situazioni, piuttosto, è bene ricordare che i dati importanti vanno sempre copiati a parte, mediante procedure di backup su drive esterni e possibilmente sconnessi dalla rete. Alcuni blog riportano una procedura per rimuovere l’avviso dal MBR, ma questo non recupera i dati – bensଠsi limita a togliere di mezzo la schermata di infezione.

Ti potrebbe interessare:  FTX dovrebbe ricordarci la differenza tra exchange e wallet di criptovalute

Secondo ArsTechnica (che cita il blog del ricercatore tedesco Fabian Scherschel), l’unico modo per sbarazzarsi del ransomware Petya è quello di bloccarne il processo nella prima fase, quindi prima possibile. Inizialmente, infatti, il virus effettua un semplice XOR del Master Boot Record, motivo per cui basterebbe avviare il disco mediante un drive esterno e salvare cosଠtutti i dati minacciati. àˆ utile sapere, inoltre, che sui sistemi UEFI (che hanno sostituito il classico BIOS su molti sistemi Microsoft) il malware si limita a rendere il disco non avviabile, mentre i dati restano solitamente intatti. L’opzione più drastica rimane quella di formattare, il che non permette – chiaramente – di recuperare i dati criptati, ma solo di rendere nuovamente il computer utilizzabile.

Di seguito viene mostrato un esempio di infezione (fonte).



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Petya, il ransomware che infetta il Master Boot Record
ed37b70621f21c3e81584d04ee44408be273e7dc1db116439df5 640 virus
Torna su