Ransomware Petya: PC bloccato e tutti i file criptati

Nell’informatica “novità” è un concetto breve e questo vale anche per i virus. Ancora di più se parliamo di Ransomware. Prima Cryptowall 4.0 e poi Locky sembravano la novità del 2016 e anche se continuano mietere vittime, a distanza di qualche mese ecco Petya, una nuova variante di cryptovirus che si distingue nettamente dai suoi cugini.

Ebbene sì, perché non vedremo solamente i nostri file criptati ma prende in ostaggio l’intero PC, rendendolo inutilizzabile se non per versare il riscatto in Bitcoin.

D’altro canto almeno non dà noia alle condivisioni di rete e udite udite, se preso in tempo è possibile salvare i nostri documenti.

La tipologia di attacco è ancora una volta il mail phishing, ma con una veste nuova. Non si tratta infatti di false fatture in attesa di pagamento e nemmeno di consegne di corrieri, bensì di candidature per posti di lavoro.

Il messaggio di posta contiene un link ad una cartella Dropbox, nella quale si trova quello che dovrebbe essere il Curriculum Vitae del candidato, che troviamo sotto forma di un archivio compresso.

Questo contiene la foto di un ragazzo e un file eseguibile, in formato .exe, che dovrebbe essere il CV.

In realtà si tratta di un “dropper” a doppia fase, ovvero un software che se viene eseguito scarica il malware vero e proprio, nel nostro caso il cryptovirus Petya.

Da notare che questo attacco sfrutta esclusivamente la strategia del social engineering. L’esecuzione del dropper deve avvenire con i privilegi di amministratore ma non viene utilizzata nessuna tecnica di bypass dello user account. Per questo com’è giusto che sia, apparirà il pop-up per richiedere all’utente la conferma dell’esecuzione di tale software (dropper).

Supponendo di accettare, il danno avviene in 2 fasi distinte:

• La prima è svolta dal dropper, che scarica Petya e sovrascrive il master boot record, il settore del disco che contiene tutte le istruzioni di avvio di Windows, sostituendole con quelle dedicate a lanciare il cryptovirus al posto di Windows. Quando sono terminati queste azioni il sistema si blocca ma Windows è ancora attivo, appare una schermata blu con un avviso di crash che richiede il riavvio del sistema.

La prima fase termina qui, ed è il punto di non ritorno. Se riavviamo partirà la seconda fase e sarà troppo tardi. Vedremo tra poco cosa fare in questo frangente.

• Nella seconda fase il sistema al suo riavvio esegue il boot loader di Petya invece di Windows, inizierà quindi la cifratura dei file di tutta la master file table, che apparentemente sembra una comune procedura tipo scandisk o checkdisk. Al termine invece di Windows appare una schermata rossa raffigurante un’opera artistica in caratteri ASCII, a forma di teschio, sono Jack Sparrow e la Perla Nera che ci hanno truffati. A questo punto premendo un tasto qualsiasi ci vengono presentate tutte le istruzioni per il pagamento del riscatto.

Nel caso di Petya il PC infetto è completamente inutilizzabile, l’unica cosa che si può fare è inserire la chiave di de-cifratura.

Per averla è necessario pagare il riscatto (0,9 Bitcoin ora pari a 330€) utilizzando un altro PC. Bisogna prima scaricare il browser TOR per accedere al Deep Web all’indirizzo indicato e poi acquistare la chiave, che andremo ad inserire sul PC infetto per riaverlo indietro dalla scrigno di Davy Jones.

Ma allora cosa possiamo fare per scongiurare tutto questo?

Per evitare che il malware inizi la seconda fase, quando ci appare la schermata blu, dobbiamo SPEGNERE, anche brutalmente il PC, stacchiamo la spina, togliamo la batteria e ASSOLUTAMENTE NON DOBBIAMO RIAVVIARLO.

A questo punto possiamo smontare l’hard disk e tramite un altro PC copiare tutti i nostri documenti, perché non sono ancora cifrati, dopodiché è possibile formattare e ricaricare tutto quanto.

Comporta un po’ di lavoro ma quantomeno riabbiamo i nostri dati senza arricchire nessuno.

Dobbiamo solamente sperare che chi ci eroga i servizi di assistenza sistemistica ci fatturi meno di 0,9 Bitcoin per l’attività di ripristino del PC, in effetti abbiamo visto quotazioni avvicinarsi molto.

In questo caso cosa conviene fare?

Se consideriamo l’aspetto morale la cosa giusta da fare sarebbe farci sistemare il PC senza pagare il riscatto, tuttavia, visto e considerato che la spesa di rispristino potrebbe anche essere analoga e che i tempi di attesa sarebbero sicuramente più lunghi, posso immaginare che qualcuno preferisca pagare.

Con l'occasione puoi valutare il grado di prevenzione contro i Phishing  del tuo sistema antispam, scarica questa guida per conoscere tutte le funzioni e le caratteristiche che oggi non possono assolutamente mancare ad un sistema di controllo dela posta.