Alfonso Maruccia

Petya, il ransomware da Master Boot Record

L'ennesima genìa del codice malevolo che prende in ostaggio i file è in grado di rendere inutilizzabile il PC fino al pagamento della somma di denaro richiesta in BTC. Una vocazione distruttiva che richiama al passato

Roma - Oltre a essere uno dei business criminali più in voga, il ransomware è un tipo di minaccia informatica in costante evoluzione e dalla pericolosità sempre crescente. Petya, l'ultimo esemplare di ransomware identificato dai ricercatori, sfrutta un meccanismo di infezione storico per costringere gli utenti a pagare il riscatto per avere indietro i loro file.


Petya arriva sul PC (Windows) sotto forma di allegato malevolo a una email in lingua tedesca, spiegano gli analisti di G-DATA, e una volta in esecuzione riavvia il sistema mimando il caricamento dell'utility di sistema per il controllo dei file su disco (Chkdsk).

In realtà il (falso) rapporto di controllo serve a mascherare la codifica dei file su disco, una procedura che include anche il Master Boot Record (MBR) del disco fisso per unità non partizionate in standard GPT.
A infezione avvenuta, il malware visualizza un messaggio che invita a pagare 0,9 Bitcoin (circa 400 dollari) tramite Tor per ripristinare i file. Senza la chiave crittografica ricevuta dopo il pagamento in BTC, avvertono i criminali, i file e l'intero disco fisso non saranno più accessibili.

Al momento i ricercatori non sono in grado di fornire dettagli sulla possibile decodifica dei dati criptati, e i consigli del caso si limitano a ripristinare i file compromessi con un backup pulito; in ogni caso il riscatto non va pagato, avvertono da G-DATA.

A parte il lato "business" del malware, il payload Petya ricorda il funzionamento di Michelangelo: lo storico boot virus per DOS scoperto nel 1992 era progettato per infettare i boot sector dei floppy disk e l'MBR dell'HDD, e infine per sovrascrivere i primi 100 settori del disco rendendolo inutilizzabile. Un'apocalisse tecnologica annunciata a mezzo telegiornale che si rivelò essere molto meno grave del previsto.

Alfonso Maruccia
Notizie collegate
  • SicurezzaRansomware, la salute vale un riscattoLa struttura ospedaliera di Hollywood paralizzata da un ransomware ha scelto di pagare: assecondare le volontà dei cybercriminali è stato il modo più semplice per ripristinare le proprie attività
  • SicurezzaOS X, avvistato il ransomwareIl malware crittografico prende di mira anche i sistemi di Apple: Difficile ma non impossibile essere colpiti. Le contromisure sono già state messe in atto
35 Commenti alla Notizia Petya, il ransomware da Master Boot Record
Ordina
  • E così sfrutterebbe un meccanismo storico eh ?!

    Se parliamo di storia, Linux, MAC o una qualsiasi workstation non windows usano i permessi Posix derivati da Unix che risale al 1972 (anno più anno meno).

    Se apro una mail con un applicativo e lo lancio da uno di questi, sicuramente posso riavviare la macchina, ma non c'è modo di scrivere con una utenza normale su un'area di sistema.

    Se parliamo di storia su Windows ci hanno messo circa 20 anni per introdurre le ACL e proteggere le aree sui server (pensa un po`), poi hanno inventato l'UAC, che però la gente abituata a fregarsene dei problemi di sicurezza, ha snobbato fin da subito, così l'hanno riempito di vulnerabilità per farglielo digerire.

    Poi ci hanno messo anche un active shield che ti avvisa se il programma che lanci fa attività sospette (tipo il fatto di funzionare su windows immagino).

    Adesso mi venite a dire che il ransomware, sfrutta un meccanismo storico, cioè dai tempi di MSDOS ?

    Cioè che l'attuale Windows che è arrivato alla versione 10 e che si aggiorna in continuazione, consente ancora all'apertura di una mail, di installare un programma in grado di funzionare al boot in single user mode, senza manco un minimo di permessi richiesti ?

    A questo punto, per Ritchie mi sa che è tardino, ma mi sa che alla Microsoft potrebbero fare una telefonata in Google a Thompson, magari lui un suggerimento su come si mette in piedi un sistema operativo, glielo può anche dare, altro che meccanismo storico.
    non+autenticato
  • 90 minuti di applausi !!!!
    non+autenticato
  • - Scritto da: Crash

    > Cioè che l'attuale Windows che è arrivato alla
    > versione 10 e che si aggiorna in continuazione,
    > consente ancora all'apertura di una mail, di
    > installare un programma in grado di funzionare al
    > boot in single user mode, senza manco un minimo
    > di permessi richiesti ?

    Ma quale apertura della mail. Se fosse come hai descritto tu, presupporrebbe che l'utente clicchi da qualche parte!

    Qui invece parliamo di client di posta di sistema, che si avvia in automatico e in modo silente, che ogni tot polla il server di posta alla ricerca di nuovi messaggi, e quando ne arriva uno, si apre il popup in basso con l'anteprima del messaggio.

    Ed e' li' che parte l'allegato col ramsonware!

    > A questo punto, per Ritchie mi sa che è tardino,
    > ma mi sa che alla Microsoft potrebbero fare una
    > telefonata in Google a Thompson, magari lui un
    > suggerimento su come si mette in piedi un sistema
    > operativo, glielo può anche dare, altro che
    > meccanismo
    > storico.

    Possono fare quello che fanno tutti: piallone e distro linux!
  • scusa panda io sono a tuo favore però l'articolo dice questo:

    "Petya arriva sul PC (Windows) sotto forma di allegato malevolo a una email in lingua tedesca, spiegano gli analisti di G-DATA, e una volta in esecuzione riavvia il sistema mimando il caricamento dell'utility di sistema per il controllo dei file su disco (Chkdsk)"

    Parla di allegato che quindi deve essere aperto cliccandoci sopra e non di popup con anteprima che avvia il virus
    Anche il video mostra che fa partire il file cliccandoci sopra.
    non+autenticato
  • - Scritto da: ...
    > scusa panda io sono a tuo favore però l'articolo
    > dice
    > questo:
    >
    > "Petya arriva sul PC (Windows) sotto forma di
    > allegato malevolo a una email in lingua tedesca,
    > spiegano gli analisti di G-DATA, e una volta in
    > esecuzione riavvia il sistema mimando il
    > caricamento dell'utility di sistema per il
    > controllo dei file su disco
    > (Chkdsk)"
    >
    > Parla di allegato che quindi deve essere aperto
    > cliccandoci sopra e non di popup con anteprima
    > che avvia il
    > virus
    > Anche il video mostra che fa partire il file
    > cliccandoci
    > sopra.

    Dipende dal client di posta.
    Ovviamente ci sono dei client di posta intelligenti che demandano tutto alla consapevolezza dell'utente.
    Poi ci sono altri client di posta, quelli della serie "it's magik!" che fanno tutto loro.
  • Ma che stai a di?

    L'anteprima è da secoli che NON lancia allegati e NON esegue macro/codice nel corpo dell'email. L'infezione in questi casi avviene SEMPRE perché l'utente lancia l'allegato, allegato che spesso sfrutta la tecnica sella doppia estensione.
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: Crash
    >
    > > Cioè che l'attuale Windows che è arrivato
    > alla
    > > versione 10 e che si aggiorna in
    > continuazione,
    > > consente ancora all'apertura di una mail, di
    > > installare un programma in grado di
    > funzionare
    > al
    > > boot in single user mode, senza manco un
    > minimo
    > > di permessi richiesti ?
    >
    > Ma quale apertura della mail. Se fosse come hai
    > descritto tu, presupporrebbe che l'utente clicchi
    > da qualche
    > parte!
    >
    > Qui invece parliamo di client di posta di
    > sistema, che si avvia in automatico e in modo
    > silente, che ogni tot polla il server di posta
    > alla ricerca di nuovi messaggi, e quando ne
    > arriva uno, si apre il popup in basso con
    > l'anteprima del
    > messaggio.
    >
    > Ed e' li' che parte l'allegato col ramsonware!
    >
    > > A questo punto, per Ritchie mi sa che è
    > tardino,
    > > ma mi sa che alla Microsoft potrebbero fare
    > una
    > > telefonata in Google a Thompson, magari lui
    > un
    > > suggerimento su come si mette in piedi un
    > sistema
    > > operativo, glielo può anche dare, altro che
    > > meccanismo
    > > storico.
    >

    Anche se si apre l'anteprima della mail, è sempre l'utente che deve accettare di aprire/installare l'allegato no?
  • Adesso è chiaro a cosa servono i Bitcoin
    non+autenticato
  • Ma quelli che i lettori di p.i. Chiamano con disprezzo utonti come fanno con il device compromesso a comprare i bitcoin e poi usare tor? Ce li vedete?
    Non è che a cascarci sono anche quelli più addentro all'informatica come i lettori di p.i.?
    non+autenticato
  • - Scritto da: Zizzo
    > Ma quelli che i lettori di p.i. Chiamano con
    > disprezzo utonti come fanno con il device
    > compromesso a comprare i bitcoin e poi usare tor?
    > Ce li
    > vedete?
    > Non è che a cascarci sono anche quelli più
    > addentro all'informatica come i lettori di
    > p.i.?

    Prendono di mira principalmente gli ospedali in quanto in possesso di dati critici e per giunta protetti col c*lo:

    http://money.cnn.com/2016/03/23/technology/hospita.../

    http://searchsecurity.techtarget.com/news/45027994...

    Succede in tutti i paesi del mondo anche se la stampa tace.
    non+autenticato
  • - Scritto da: ricatti
    > - Scritto da: Zizzo
    > > Ma quelli che i lettori di p.i. Chiamano con
    > > disprezzo utonti come fanno con il device
    > > compromesso a comprare i bitcoin e poi usare
    > tor?
    > > Ce li
    > > vedete?
    > > Non è che a cascarci sono anche quelli più
    > > addentro all'informatica come i lettori di
    > > p.i.?
    >
    > Prendono di mira principalmente gli ospedali in
    > quanto in possesso di dati critici e per giunta
    > protetti col
    > c*lo:
    >
    > http://money.cnn.com/2016/03/23/technology/hospita
    >
    > http://searchsecurity.techtarget.com/news/45027994
    >
    > Succede in tutti i paesi del mondo anche se la
    > stampa
    > tace.

    Veramente prendono di mira qualunque organizzazione pubblica o privata, dove ci sia un idiota che si scarica i porno dal pc dell'azienda.

    Poi si viene a sapere di quelle degli ospedali perche' ci sono dati piu' sensibili, ma succede traquillamente anche in azienducole che per risparmiare assoldano il cuGGino del capo al posto di un vero sistemista.
    Solo che in questi casi non si viene a sapere.
  • - Scritto da: panda rossa
    > ..... per
    > risparmiare assoldano il cuGGino del capo al
    > posto di un vero
    > sistemista.
    > Solo che in questi casi non si viene a sapere.
    Non sono troppo d’accordo, in genere la differenza che passa tra un vero sistemista ed il cuGGino del capo sono i soldi che gli passi…
    Anzi, il cuGGino in genere, se ti becchi un ransomware, ti fa anche risparmiare pagando lo scroccone di turno per farsi dare la chiave per decriptare, il vero sistemista ti fa invece spendere millemila euri per mettere su un sistema di backup e poi ripristinare i dati, sempre che abbia fatto in tempo a metterlo su...ed anche questo non si viene a sapere.
    non+autenticato
  • - Scritto da: bitbit
    > - Scritto da: panda rossa
    > > ..... per
    > > risparmiare assoldano il cuGGino del capo al
    > > posto di un vero
    > > sistemista.
    > > Solo che in questi casi non si viene a sapere.
    > Non sono troppo d’accordo, in genere la
    > differenza che passa tra un vero sistemista ed il
    > cuGGino del capo sono i soldi che gli
    > passi…
    > Anzi, il cuGGino in genere, se ti becchi un
    > ransomware, ti fa anche risparmiare pagando lo
    > scroccone di turno per farsi dare la chiave per
    > decriptare, il vero sistemista ti fa invece
    > spendere millemila euri per mettere su un sistema
    > di backup e poi ripristinare i dati, sempre che
    > abbia fatto in tempo a metterlo su...ed anche
    > questo non si viene a
    > sapere.

    Il vero sistemista non ti fa spendere un centesimo per un sistema di backup: cannibalizza i dischi vecchi, crea uno storage di backup e lo mette in opera.

    Solo in mancanza di dischi vecchi, il vero sistemista va a pretendere dei dischi dall'amministrazione.
  • Lo so, quello che mi premeva era dare un esempio (mica tutti) serio di come il problema non sia circoscritto al bimbominchia domestico un po' winaro un po' utumbaro come voleva far credere Zizzo.
    non+autenticato
  • La nuova politica commerciale di M$: l'aggiornamento a winx e' gratuito, ma si paga dopo.
  • Ma si dai andiamo tutti su Linux , li si che sei al sicuro dai ransomware ... si si .... Rotola dal ridereRotola dal ridereRotola dal ridere
  • beh si purtroppo per te l'unico caso è una vulnearabilità (già patchata) di una Applicazione web (non l'OS) di e-commerce che si chiama "Magento".
    Ma naturalmente il macaco non sa distinguere tra Applicazione e OS
    A bocca aperta
    non+autenticato
  • Neanche fra kernel e distribuzione (quell' altro macaco, tu sai chi).
    non+autenticato
  • Per gli uber curiosi: stanno parlando di questo malware: https://en.wikipedia.org/wiki/Linux.Encoder.1
    non+autenticato
  • - Scritto da: lart
    > Per gli uber curiosi: stanno parlando di questo
    > malware:
    > https://en.wikipedia.org/wiki/Linux.Encoder.1
    ed e' anche codato male....... insomma il ransomware su linux non rendeCon la lingua fuori
    non+autenticato
  • Non mi sembra che linux sia cosi' vulnerabile , anche se niente e' inviolabile almeno da molta tranquillita' in piu' , tra l'altro nel caso che conosco su linux come porta di ingresso c'era un software terzo e non i servizi di sistema .
    non+autenticato
  • L'ultima persona che mi aveva chiesto aiuto aveva ricevuto la richiesta di 300 dollari per liberare i file: il sistema dis-operativo era comunque funzionate, il blocco crittografico riguardava i file doc/ppt/xls/pdf.

    Se questi criptano tutto il disco con la sbatta di simulare lo scandisk, significa che si sono impegnati e che la pretesa di 400 dollari sia piu' che legittimabile considerando lo sforzo profuso per la realizzazione del software.

    E poi... che paroloni... criminali... vogliamo chiamarli "spregiudicati imprenditori di se' stessi abili a cogliere le evoluzioni del mercato per ritagliarsi la propria nicchia di business"?

    Si, suona molto meglio, molto piu' cool, molto piu' trendy, molto piu' web 3.0.

    Moralmente, questi li equiparo a quegli altri spregiutcati imprenditori che ti "vendono" i file musicali ma che se cerchi di ascoltarli sun una periferica diversa dalla qella sulla quale li hai scaricati, puff, non funzionano. O ancora a quegli altri che ti "vendono" i giochi online ma che non ti permettono di rivenderli.


    Inhternet e' una jungla, o mangi o vieni mangiato.
    non+autenticato
  • - Scritto da: ...
    > L'ultima persona che mi aveva chiesto aiuto aveva
    > ricevuto la richiesta di 300 dollari per liberare
    > i file: il sistema dis-operativo era comunque
    > funzionate, il blocco crittografico riguardava i
    > file
    > doc/ppt/xls/pdf.
    >
    > Se questi criptano tutto il disco con la sbatta
    > di simulare lo scandisk, significa che si sono
    > impegnati e che la pretesa di 400 dollari sia
    > piu' che legittimabile considerando lo sforzo
    > profuso per la realizzazione del
    > software.
    >
    > E poi... che paroloni... criminali... vogliamo
    > chiamarli "spregiudicati imprenditori di se'
    > stessi abili a cogliere le evoluzioni del mercato
    > per ritagliarsi la propria nicchia di
    > business"?
    >
    > Si, suona molto meglio, molto piu' cool, molto
    > piu' trendy, molto piu' web
    > 3.0.
    >
    > Moralmente, questi li equiparo a quegli altri
    > spregiutcati imprenditori che ti "vendono" i file
    > musicali ma che se cerchi di ascoltarli sun una
    > periferica diversa dalla qella sulla quale li hai
    > scaricati, puff, non funzionano. O ancora a
    > quegli altri che ti "vendono" i giochi online ma
    > che non ti permettono di
    > rivenderli.
    >
    >
    > Inhternet e' una jungla, o mangi o vieni mangiato.

    Una buona policy di backup risolve ogni male del genere.
    non+autenticato
  • - Scritto da: Il fuddaro
    > - Scritto da: ...
    > > L'ultima persona che mi aveva chiesto aiuto
    > aveva
    > > ricevuto la richiesta di 300 dollari per
    > liberare
    > > i file: il sistema dis-operativo era comunque
    > > funzionate, il blocco crittografico riguardava i
    > > file
    > > doc/ppt/xls/pdf.
    > >
    > > Se questi criptano tutto il disco con la sbatta
    > > di simulare lo scandisk, significa che si sono
    > > impegnati e che la pretesa di 400 dollari sia
    > > piu' che legittimabile considerando lo sforzo
    > > profuso per la realizzazione del
    > > software.
    > >
    > > E poi... che paroloni... criminali... vogliamo
    > > chiamarli "spregiudicati imprenditori di se'
    > > stessi abili a cogliere le evoluzioni del
    > mercato
    > > per ritagliarsi la propria nicchia di
    > > business"?
    > >
    > > Si, suona molto meglio, molto piu' cool, molto
    > > piu' trendy, molto piu' web
    > > 3.0.
    > >
    > > Moralmente, questi li equiparo a quegli altri
    > > spregiutcati imprenditori che ti "vendono" i
    > file
    > > musicali ma che se cerchi di ascoltarli sun una
    > > periferica diversa dalla qella sulla quale li
    > hai
    > > scaricati, puff, non funzionano. O ancora a
    > > quegli altri che ti "vendono" i giochi online ma
    > > che non ti permettono di
    > > rivenderli.
    > >
    > >
    > > Inhternet e' una jungla, o mangi o vieni
    > mangiato.
    >
    > Una buona policy di backup risolve ogni male del
    > genere.

    stiamo parlado di idioti-che-usano-windows: "backup" credono sia la marca di una crema da barba.
    non+autenticato
  • Sei sicuro che il backup risolva?
    Se hai l'HD di backup attivo, vuol dire che l'hai perso.
    Se è in Lan non lo so, ma la maggior parte della gente comune il backup lo fa su un HD interno o su USB.
    non+autenticato
  • - Scritto da: Tuorlo
    > Sei sicuro che il backup risolva?
    > Se hai l'HD di backup attivo, vuol dire che l'hai
    > perso.
    > Se è in Lan non lo so, ma la maggior parte della
    > gente comune il backup lo fa su un HD interno o
    > su
    > USB.

    Il backup, o lo fai bene, o stai perdendo tempo e spazio su disco.
  • Ho il lontano sospettoA bocca aperta che il backup delle immagini della partizioni possa risolvere il problema ... tu no ? oppure quando pensi al backup in realtà pensi ad un copia e incolla ...
    non+autenticato
  • - Scritto da: prova123
    > Ho il lontano sospettoA bocca aperta che il backup delle
    > immagini della partizioni possa risolvere il
    > problema ... tu no ? oppure quando pensi al
    > backup in realtà pensi ad un copia e incolla
    > ...

    Stavolta dici bene: il tuo sospetto è una certezza.

    Se mai io ho un altro sospetto ... di bufala: come fanno a chiederti un riscatto se ti hanno sputtanato il boot? come faresti a ripartire per riconvertire i tuoi dati con la loro Key?
    Per questo motivo i ransomware non ti danneggiano mai il sistema di boot.
  • ed è comunque tradizione che infettino solo la partizione attiva ... quindi un semplice dual boot con un secondo SO è più che sufficiente nel 99% dei casi.
    non+autenticato
  • - Scritto da: Tuorlo
    > Sei sicuro che il backup risolva?
    > Se hai l'HD di backup attivo, vuol dire che l'hai
    > perso.
    > Se è in Lan non lo so, ma la maggior parte della
    > gente comune il backup lo fa su un HD interno o
    > su
    > USB.

    Ecco fare il backup su un hard disk interno NON È una buona policy di backup. Farlo su uno esterno USB, mentre non si sta facendo altro (tipo aprire mail infette), invece si.
    non+autenticato
  • - Scritto da: Crash
    > - Scritto da: Tuorlo
    > > Sei sicuro che il backup risolva?
    > > Se hai l'HD di backup attivo, vuol dire che
    > l'hai
    > > perso.
    > > Se è in Lan non lo so, ma la maggior parte della
    > > gente comune il backup lo fa su un HD interno o
    > > su
    > > USB.
    >
    > Ecco fare il backup su un hard disk interno NON È
    > una buona policy di backup. Farlo su uno esterno
    > USB, mentre non si sta facendo altro (tipo aprire
    > mail infette), invece
    > si.

    E smontare la partizione subito dopo!
  • - Scritto da: Crash
    > - Scritto da: Tuorlo
    > > Sei sicuro che il backup risolva?
    > > Se hai l'HD di backup attivo, vuol dire che
    > l'hai
    > > perso.
    > > Se è in Lan non lo so, ma la maggior parte della
    > > gente comune il backup lo fa su un HD interno o
    > > su
    > > USB.
    >
    > Ecco fare il backup su un hard disk interno NON È
    > una buona policy di backup. Farlo su uno esterno
    > USB, mentre non si sta facendo altro (tipo aprire
    > mail infette), invece
    > si.

    Quotone.

    Quando faccio operazioni del genere manco sono collegato in rete (se è per questo sono connesso solo ed esclusivamente quando serve).

    Ovviamente i back-up hanno senso solo se non sei ancora infetto; nel malaugurato caso lo fossi devi ripristinare da un back-up precedente non infetto, quindi cauti nel ricoprire vecchi back-up (ovvio, ma meglio ripeterlo).