Nella giornata di ieri abbiamo parlato del ransomware Petya, o meglio NotPetya visto che è in realtà un nuovo virus con funzionalità avanzate e diverse dal vecchio Petya: dicevamo quindi che questo ransom criptava l’MBR e l’MFT (Master File Table) sostituendolo con uno malizioso e cercava di propagarsi in rete sfruttando vulnerabilità già usate con Wannacry come l’EternalBlue e EternalRomance (Vulnerabilità SMB v1).
Sono sorte alcune novità in merito il codice del ransom, novità che hanno portato i ricercatori Kaspersky ad affermare che non si tratta di un ransomware, bensì di un “Wiper Malware“, questo motivato dal fatto che:
- il ransom non comunica con nessun server C&C
- il ransom genera un codice ID casuale, senza alcun ordine, rendendo impossibile il recupero dei dati e della partizione
- il ransom non mantiene alcuna copia del precedente MBR, cosa che invece la vecchia versione di Petya faceva, cosa che rende impossibile il recupero anche se si è in possesso della chiave di decriptazione
Gli utenti che finora hanno pagato (si stima una cifra intorno ai 10.500 BitCoin) non hanno recuperato i loro files, cosa che conferma quanto scoperto dai ricercatori.
In aggiunta NotPetya non cripta in realtà alcun file, bensì rende impossibile l’accesso ad essi agendo su componenti essenziali come l’MFT, che per definizione ha il seguente scopo nel sistema (Wikipedia):
registrate le informazioni su ogni file e directorydatabase relazionaleFile Allocation TableFATcluster
Quindi consigliamo agli utenti che sono stati infettati da NotPetya di NON pagare alcun riscatto, visto che non ci sarà possibilità di recuperare i dati.
Via: ExPetr/Petya/NotPetya is a Wiper, Not Ransomware – Securelist