Home SicurezzaCryptolocker Il ransomware Petya è in realtà un Wiper Malware: impossibile recuperare i dati

Il ransomware Petya è in realtà un Wiper Malware: impossibile recuperare i dati

da Alvise C.
0 commenti 6 minutes Leggi
A+A-
Reset
Nella giornata di ieri abbiamo parlato del ransomware Petya, o meglio NotPetya visto che è in realtà un nuovo virus con funzionalità avanzate e diverse dal vecchio Petya: dicevamo quindi che questo ransom criptava l’MBR e l’MFT (Master File Table) sostituendolo con uno malizioso e cercava di propagarsi in rete sfruttando vulnerabilità già usate con Wannacry come l’EternalBlue e  EternalRomance   (Vulnerabilità SMB v1).
Attacco%2Bglobale%2Bdel%2Bnuovo%2BPetya %2Bun%2Brinnovato%2Bmalware%2Bcolpisce%2Bistituzioni%2Be%2Baziende%2Binternazionali%2B%25281%2529
Sono sorte alcune novità in merito il codice del ransom, novità che hanno portato i ricercatori Kaspersky ad affermare che non si tratta di un ransomware, bensì di un “Wiper Malware“, questo motivato dal fatto che:

  1. il ransom non comunica con nessun server C&C
  2. il ransom genera un codice ID casuale, senza alcun ordine, rendendo impossibile il recupero dei dati e della partizione
  3. il ransom non mantiene alcuna copia del precedente MBR, cosa che invece la vecchia versione di Petya faceva, cosa che rende impossibile il recupero anche se si è in possesso della chiave di decriptazione
Gli utenti che finora hanno pagato (si stima una cifra intorno ai 10.500 BitCoin) non hanno recuperato i loro files, cosa che conferma quanto scoperto dai ricercatori. 
In aggiunta NotPetya non cripta in realtà alcun file, bensì rende impossibile l’accesso ad essi agendo su componenti essenziali come l’MFT, che per definizione ha il seguente scopo nel sistema (Wikipedia): 

Il Master File Table (noto in sigla come MFT) è un importante componente del file system NTFS, contenente le chiavi (metadati) che definiscono un volume NTFS.

Esso è il luogo in cui sono registrate le informazioni su ogni file e directory di un volume formattato come NTFS. In modo analogo alle tabelle di un database relazionale, il MFT contiene in sostanza vari attributi relativi ai vari file. Agisce come “punto di partenza” e funziona come il gestore centrale di un volume NTFS, una sorta di “tavola dei contenuti” per il volume. È analogo al File Allocation Table dei file in una partizione FAT, ma è molto più di un semplice elenco dei cluster usati e disponibili.

I primi 16 record dell’MFT sono sempre riservati per i metadati del volume stesso.

La MFT è l’elemento principale di una partizione NTFS, (il nome esatto è “$MFT”), e contiene, come abbiamo detto, l’elenco di tutti i file memorizzati su disco. Questo elenco viene memorizzato in forma di una serie di registrazioni, alla maniera di un database. Quando un file viene eliminato, il record che descrive è contrassegnato come libero, può quindi essere riutilizzato quando si crea un nuovo file, ma il record eliminato nella tabella non elimina a livello fisico il file su disco. Pertanto, il file MFT continua a crescere come e quanto l’utilizzo del disco.

Quindi consigliamo agli utenti che sono stati infettati da NotPetya di NON pagare alcun riscatto, visto che non ci sarà possibilità di recuperare i dati.

Via: ExPetr/Petya/NotPetya is a Wiper, Not Ransomware – Securelist

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.