Abbiamo già affrontato il problema ransomware dissertando del CryptoLocker, ma a quanto pare c’è una nuova grana nella rete. Il suo nome è Petya. Ma ricapitoliamo: i ransomware sono probabilmente la piaga del momento: il genere di virus che infetta disco rigido o unità SSD crittografando i documenti che diventano impossibili da recuperare se non si paga un “riscatto” (in inglese Ransom).
La significativa peculiarità di Petya è che prende di mira l’intero drive di avvio del sistema e protegge con crittografia il MFT, il Master File Table, ovvero il luogo di un disco formattato in cui sono conservate le info relative alle locazioni di ogni singolo file o cartella. In altre parole, una tabella dove sono indicate le coordinate di tutti i file, anche quelli di sistema.
Attualmente Petya si è diffuso via email, mascherate come annunci di lavoro e dunque il target che potrebbero essere dipendenti alla ricerca di nuovi lavori e attraverso collegamenti Dropbox.
Tutto inizia con il sistema che si riavvia eseguendo un falso CHKDSK di Windows, con il messaggio: “One of your disks contains errors and needs to be repaired”(Trad.: Uno dei tuoi dischi contiene errori e necessita di riparazioni). La schermata blu della morte (BSOD), è seguita da una falsa videata che mostra il controllo del disco in corso e che in realtà non fa altro che cifrare la Master File Table (MFT), cambiando inoltre nome ai file, modificando la loro dimensione e rimappando i settori del disco fisso rendendo lo stesso del tutto inutilizzabile; al completamento della finta operazione, il software mostra una schermata raffigurante un teschio in caratteri ASCII proclamando con enfasi inopportuna: “Sei diventato una vittima del Ransomware Petya“.
Non mancano le classiche informazioni sulle procedure da seguire per ripristinare il normale uso del disco attraverso alcuni servizi nascosti su rete Tor oltre alle istruzioni su come pagare il riscatto. Il prezzo richiesto è pari a 0.99 Bitcoin (BTC), circa 330€ al cambio attuale.
Attualmente, secondo le notizie diffuse sulla rete, i principali obiettivi di questa campagna virale sarebbero i dipartimenti delle risorse umane ed al momento la campagna con messaggi spam di Petya ha riguardato in modo particolare la Germania, ma è probabile che la vedremo presto anche in altri paesi. Compresa l’Italia.
Attualmente gli esperti riportano che non c’è modo di recuperare i dati senza “piegarsi” alle richieste dei cybercriminali alla costante ricerca di metodi sofisticati per rimpinguare le proprie risorse, finendo per finanziare le loro attività criminali.
Il consiglio rimane quindi sempre lo stesso: PREVENZIONE. Soprattutto non aprite allegati sospetti nelle vostre mail. Nel caso, telefonate al vostro interlocutore.
