Petya, il ransomware da Master Boot Record

Oltre a essere uno dei business criminali più in voga, il ransomware è un tipo di minaccia informatica in costante evoluzione e dalla pericolosità sempre crescente. Petya, l’ultimo esemplare di ransomware identificato dai ricercatori , sfrutta un meccanismo di infezione storico per costringere gli utenti a pagare il riscatto per avere indietro i loro file.

Petya arriva sul PC (Windows) sotto forma di allegato malevolo a una email in lingua tedesca, spiegano gli analisti di G-DATA, e una volta in esecuzione riavvia il sistema mimando il caricamento dell’utility di sistema per il controllo dei file su disco (Chkdsk).

In realtà il (falso) rapporto di controllo serve a mascherare la codifica dei file su disco, una procedura che include anche il Master Boot Record (MBR) del disco fisso per unità non partizionate in standard GPT.

A infezione avvenuta, il malware visualizza un messaggio che invita a pagare 0,9 Bitcoin (circa 400 dollari) tramite Tor per ripristinare i file. Senza la chiave crittografica ricevuta dopo il pagamento in BTC, avvertono i criminali, i file e l’intero disco fisso non saranno più accessibili.

Al momento i ricercatori non sono in grado di fornire dettagli sulla possibile decodifica dei dati criptati, e i consigli del caso si limitano a ripristinare i file compromessi con un backup pulito; in ogni caso il riscatto non va pagato , avvertono da G-DATA.

A parte il lato “business” del malware, il payload Petya ricorda il funzionamento di Michelangelo: lo storico boot virus per DOS scoperto nel 1992 era progettato per infettare i boot sector dei floppy disk e l’MBR dell’HDD, e infine per sovrascrivere i primi 100 settori del disco rendendolo inutilizzabile. Un’apocalisse tecnologica annunciata a mezzo telegiornale che si rivelò essere molto meno grave del previsto.

Alfonso Maruccia