Di solito, non esultiamo per i bug, ma oggi faremo un’eccezione.
Un bug o un errore nel codice del ransomware Petya ha permesso a uno sviluppatore di creare un tool per sbloccare il dispositivo di un utente senza pagare il riscatto.
Il mese scorso vi abbiamo messo in guardia da Petya e il suo contributo per distruggere i dispositivi. Per cui direi che l’utente identificato su Twitter come @Leostone si è ben meritato un applauso o un batti cinque virtuale.
#petya #ransomware #defeated
Get your disks back here: https://t.co/vXH2ny6jdk— leostone (@leo_and_stone) April 9, 2016
Essendo il suo avatar un uovo, ci si dovrebbe chiedere: questo decryptor funziona davvero? Per scoprirlo, ci siamo rivolti al nostro team di ricerca.
Ha confermato che il tool funziona davvero. Prima, @Leostone ha creato il decryptor come una pagina web in grado di generare codici affinché possiate decriptare i dati. E quella pagina al momento ha dei problemi con la disponibilità: è plausibile che il suo hosting provider non riesca a gestire tutti i “felici clienti di Petya” che vogliono essere guariti immediatamente.
In seguito, vi chiede di rimuovere il vostro hard disk e di inserirlo in un altro PC. Poi dovete estrarre certi dati speciali da certi suoi settori e, utilizzando un decoder Base64, decodificare. Caricatelo sul sito e voilà, avete il codice che adesso potete somministrare a Petya e che decripterà di nuovo il vostro hard disk.
Come potete vedere, la procedura è piuttosto complicata e richiede certe abilità. Un altro utente di Twitter, Fabian Wosar, vi ha reso le cose più facili, dato che ha creato una speciale utility chiamata Petya Sector Extractor che fa il lavoro sporco. Dovete lo stesso rimuovere il vostro hard disk e trovare un altro PC per inserirlo, ma poi l’utility estrarrà i dati richiesti e li processerà. Dopodiché, l’unica cosa che dovete fare per ottenere il codice è introdurre i dati che vi ha fornito l’utility nei formulari sulla pagina web di @Leostone.
Il nostro team di ricerca ha pure notato che questo tool sfrutta un errore nella programmazione di Petya. Proprio come le compagnie con patch, in una settimana o giù di lì probabilmente vedremo una versione aggiornata di Petya che corrgge l’errore e consente ai dati di essere decriptati.
Se siete caduti vittime di Petya e non volete pagare il riscatto di circa 480$, vorrete provare il tool: potete accedere al sito https://petya-pay-no-ransom.herokuapp.com/. E il Petya Sector Extractor può essere scaricato qui. Anche con questi link, avrete bisogno di competenze tecniche. Il team di Bleeping Computer vi guiderà passo dopo passo (link in inglese).