- il ransom non comunica con nessun server C&C
- il ransom genera un codice ID casuale, senza alcun ordine, rendendo impossibile il recupero dei dati e della partizione
- il ransom non mantiene alcuna copia del precedente MBR, cosa che invece la vecchia versione di Petya faceva, cosa che rende impossibile il recupero anche se si è in possesso della chiave di decriptazione
Il Master File Table (noto in sigla come MFT) è un importante componente del file system NTFS, contenente le chiavi (metadati) che definiscono un volume NTFS.
Esso è il luogo in cui sono registrate le informazioni su ogni file e directory di un volume formattato come NTFS. In modo analogo alle tabelle di un database relazionale, il MFT contiene in sostanza vari attributi relativi ai vari file. Agisce come “punto di partenza” e funziona come il gestore centrale di un volume NTFS, una sorta di “tavola dei contenuti” per il volume. È analogo al File Allocation Table dei file in una partizione FAT, ma è molto più di un semplice elenco dei cluster usati e disponibili.
I primi 16 record dell’MFT sono sempre riservati per i metadati del volume stesso.
La MFT è l’elemento principale di una partizione NTFS, (il nome esatto è “$MFT”), e contiene, come abbiamo detto, l’elenco di tutti i file memorizzati su disco. Questo elenco viene memorizzato in forma di una serie di registrazioni, alla maniera di un database. Quando un file viene eliminato, il record che descrive è contrassegnato come libero, può quindi essere riutilizzato quando si crea un nuovo file, ma il record eliminato nella tabella non elimina a livello fisico il file su disco. Pertanto, il file MFT continua a crescere come e quanto l’utilizzo del disco.
Quindi consigliamo agli utenti che sono stati infettati da NotPetya di NON pagare alcun riscatto, visto che non ci sarà possibilità di recuperare i dati.
Via: ExPetr/Petya/NotPetya is a Wiper, Not Ransomware – Securelist