Nella giornata di ieri abbiamo parlato del ransomware Petya, o meglio NotPetya visto che è in realtà un nuovo virus con funzionalità avanzate e diverse dal vecchio Petya: dicevamo quindi che questo ransom criptava l’MBR e l’MFT (Master File Table) sostituendolo con uno malizioso e cercava di propagarsi in rete sfruttando vulnerabilità già usate con Wannacry come l’EternalBlue e EternalRomance (Vulnerabilità SMB v1).
Sono sorte alcune novità in merito il codice del ransom, novità che hanno portato i ricercatori Kaspersky ad affermare che non si tratta di un ransomware, bensì di un “Wiper Malware“, questo motivato dal fatto che:
- il ransom non comunica con nessun server C&C
- il ransom genera un codice ID casuale, senza alcun ordine, rendendo impossibile il recupero dei dati e della partizione
- il ransom non mantiene alcuna copia del precedente MBR, cosa che invece la vecchia versione di Petya faceva, cosa che rende impossibile il recupero anche se si è in possesso della chiave di decriptazione
Gli utenti che finora hanno pagato (si stima una cifra intorno ai 10.500 BitCoin) non hanno recuperato i loro files, cosa che conferma quanto scoperto dai ricercatori.
In aggiunta NotPetya non cripta in realtà alcun file, bensì rende impossibile l’accesso ad essi agendo su componenti essenziali come l’MFT, che per definizione ha il seguente scopo nel sistema (Wikipedia):
Il Master File Table (noto in sigla come MFT) è un importante componente del file system NTFS, contenente le chiavi (metadati) che definiscono un volume NTFS.
Esso è il luogo in cui sono registrate le informazioni su ogni file e directory di un volume formattato come NTFS. In modo analogo alle tabelle di un database relazionale, il MFT contiene in sostanza vari attributi relativi ai vari file. Agisce come “punto di partenza” e funziona come il gestore centrale di un volume NTFS, una sorta di “tavola dei contenuti” per il volume. È analogo al File Allocation Table dei file in una partizione FAT, ma è molto più di un semplice elenco dei cluster usati e disponibili.
I primi 16 record dell’MFT sono sempre riservati per i metadati del volume stesso.
La MFT è l’elemento principale di una partizione NTFS, (il nome esatto è “$MFT”), e contiene, come abbiamo detto, l’elenco di tutti i file memorizzati su disco. Questo elenco viene memorizzato in forma di una serie di registrazioni, alla maniera di un database. Quando un file viene eliminato, il record che descrive è contrassegnato come libero, può quindi essere riutilizzato quando si crea un nuovo file, ma il record eliminato nella tabella non elimina a livello fisico il file su disco. Pertanto, il file MFT continua a crescere come e quanto l’utilizzo del disco.
Quindi consigliamo agli utenti che sono stati infettati da NotPetya di NON pagare alcun riscatto, visto che non ci sarà possibilità di recuperare i dati.
Via: ExPetr/Petya/NotPetya is a Wiper, Not Ransomware – Securelist
