Il ransomware Petya mangia i vostri hard disk

Cryptolocker era dannoso, CTB-Locker era anche peggio, e il nuovo ransomware Petya è un autentico disastro.

Pare che il 2016 debba essere dichiarato anno del ransomware, dato che, di tanto in tanto, spuntano come funghi nuove famiglie e nuove versioni.

Il ransomware si sta evolvendo con rapidità. Le nuove versioni utilizzano forti criptografie asimmetriche con codici lunghi, cosicché i file non possano essere decriptati senza il codice. I criminali hanno cominciato a usare TOR e i pagamenti in bitcoin per rimanere del tutto anonimi. E adesso c’è il ransomware Petya che cripta l’intero disco rigido invece che i singoli file.

Come fa Petya a mettere le mani sul vostro PC

Petya è un ransomware scoperto da G Data SecurityLabs. Prende di mira soprattutto gli utenti aziendali poiché è distribuito tramite email di spam che fingono di contenere domande di assunzione. Lo scenario standard dell’infezione è il seguente.

Un addetto alle risorse umane riceve un’email da qualcuno che sta cercando lavoro in azienda. L’email contiene un link Dropbox a un file che finge di essere il curriculum vitae ma che è, in realtà, un file EXE.

Cliccando sul file, non si scarica un CV, come ci si aspetterebbe. Si trova, invece, una schermata blu di errore. Ciò significa che Petya si è intrufolato nel PC dell’utente e ha dato inizio al suo sporco lavoro.

Il vostro hard disk ci appartiene

Di solito, i comuni ransomware criptano file specifici: immagini, documenti Office e così via, lasciando il sistema operativo indenne in modo che la vittima possa usare il PC per pagare il riscatto. Ma Petya è molto più violento poiché punta a bloccare l’accesso all’intero disco rigido.

In breve, non importa quanto sia organizzato il vostro hard disk, se c’è solo una partizione o di più, c’è sempre dello spazio a voi invisibile chiamato Master Boot Record (MBR). Contiene tutti i dati sul numero e l’organizzazione delle partizioni, oltre a un codice speciale usato per avviare il sistema operativo, chiamato boot loader.

Il boot loader avvia sempre per PRIMA il sistema operativo. E questo è esattamente ciò che infetta Petya: modifica il boot loader affinché carichi il codice dannoso invece di un qualunque sistema operativo installato sul PC.

All’utente sembra che il Check Disk sia in esecuzione, il che va molto bene dopo un crash del sistema operativo. Ma quello che fa davvero Petya in questo momento è criptare il Master File Table. Si tratta di un altro lato nascosto della vita privata del vostro disco rigido e contiene tutte le informazioni su come sono distribuiti file e cartelle.

Pensate al vostro hard disk come a una vasta biblioteca che contiene milioni o anche miliardi di tomi e il Master File Table è l’indice della biblioteca. Beh, questa è una spiegazione molto semplificata, rendiamola più realistica: sul vostro disco rigido i “libri” raramente sono conservati come oggetti separati, piuttosto come singole pagine o anche ritagli. A mucchi. In nessun ordine in particolare, bensì pressoché casuale.

Forse adesso avete un’idea generica di quanto sarebbe difficile trovare un singolo “libro” se qualcuno rubasse questo “indice”, che è esattamente ciò che fa il ransomware Petya.

A questo punto, Petya rivela il suo vero volto: un teschio creato con i simboli ASCII. Quindi inizia la solita routine: il malware chiede all’utente di pagare un riscatto (0.9 bitcoin, pari a circa 380$) se vuole che il disco rigido renga decriptato e riavere i file.

L’unica differenza da altri ransomware è che Petya è completamente offline, il che non sorprende visto che ha “mangiato” il sistema operativo, di conseguenza l’utente deve trovare un altro computer per pagare il riscatto e riavere i suoi dati.

Combattere Petya

Purtroppo, come con altri recenti tipologie di ransomware, i ricercatori non hanno ancora trovato un modo di decrittare le informazioni criptate da Petya. Tuttavia, c’è ancora qualcosa che potete fare per proteggere voi stessi e i vostri dati e delle notizie positive rispetto alla distribuzione di Petya.

La buona notizia è che Dropbox ha rimosso dal suo cloud storage gli archivi dannosi con Petya. Così adesso ai delinquenti tocca trovare altri canali di distribuzione. La cattiva notizia è che probabilmente non ci metteranno troppo tempo.

Quindi, torniamo alla protezione. Cosa potete fare?

1. Quando l’utente vede la schermata blu di errore, tutti i suoi dati non sono ancora compromessi, poiché Petya non ha cominciato a criptare il Master File Table. Quindi se il vostro computer vi mostra una schermata blu, riavviate e fate partire il Check Disk e spegnetelo immediatamente. A questo punto potete anche rimuovere il vostro disco rigido, connetterlo a un altro computer (ma non utilizzatelo come un dispositivo d’avvio!) e recuperate i vostri file.

2. Petya cripta solo il Master Fit Table lasciando i file intatti, che possono essere ancora salvati da specialisti nel recupero di hard disk. Questa procedura sarebbe complessa, lunga e costosa, ma in sostanza è fattibile. Ad ogni modo, non provateci a casa: un errore potrebbe cancellare i vostri file per sempre.

3. Il modo migliore è prevenire usando una buona soluzione di sicurezza. Kaspersky Internet Security non vi farà recapitare le email di spam, quindi probabilmente neanche vedrete quella con il link a Petya. Se anche riuscisse a intrufolarsi, sarebbe rilevato come Trojan-Ransom.Win32.Petr e Kaspersky Internet Security bloccherebbe tutte le sue attività. E farebbero lo stesso tutte le nostre altre soluzioni antivirus.

Consigli