Petya, il ransomware da Master Boot Record

L'ennesima genìa del codice malevolo che prende in ostaggio i file è in grado di rendere inutilizzabile il PC fino al pagamento della somma di denaro richiesta in BTC. Una vocazione distruttiva che richiama al passato
L'ennesima genìa del codice malevolo che prende in ostaggio i file è in grado di rendere inutilizzabile il PC fino al pagamento della somma di denaro richiesta in BTC. Una vocazione distruttiva che richiama al passato

Oltre a essere uno dei business criminali più in voga, il ransomware è un tipo di minaccia informatica in costante evoluzione e dalla pericolosità sempre crescente. Petya, l’ultimo esemplare di ransomware identificato dai ricercatori , sfrutta un meccanismo di infezione storico per costringere gli utenti a pagare il riscatto per avere indietro i loro file.

Petya arriva sul PC (Windows) sotto forma di allegato malevolo a una email in lingua tedesca, spiegano gli analisti di G-DATA, e una volta in esecuzione riavvia il sistema mimando il caricamento dell’utility di sistema per il controllo dei file su disco (Chkdsk).

In realtà il (falso) rapporto di controllo serve a mascherare la codifica dei file su disco, una procedura che include anche il Master Boot Record (MBR) del disco fisso per unità non partizionate in standard GPT.

A infezione avvenuta, il malware visualizza un messaggio che invita a pagare 0,9 Bitcoin (circa 400 dollari) tramite Tor per ripristinare i file. Senza la chiave crittografica ricevuta dopo il pagamento in BTC, avvertono i criminali, i file e l’intero disco fisso non saranno più accessibili.

Al momento i ricercatori non sono in grado di fornire dettagli sulla possibile decodifica dei dati criptati, e i consigli del caso si limitano a ripristinare i file compromessi con un backup pulito; in ogni caso il riscatto non va pagato , avvertono da G-DATA.

A parte il lato “business” del malware, il payload Petya ricorda il funzionamento di Michelangelo: lo storico boot virus per DOS scoperto nel 1992 era progettato per infettare i boot sector dei floppy disk e l’MBR dell’HDD, e infine per sovrascrivere i primi 100 settori del disco rendendolo inutilizzabile. Un’apocalisse tecnologica annunciata a mezzo telegiornale che si rivelò essere molto meno grave del previsto.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

30 03 2016
Link copiato negli appunti