Alfonso Maruccia

Petya, decodificato il ransomware

Uno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica

Roma - Analizzando il "sequestro" crittografico del disco fisso operato da Petya, un ricercatore noto come leostone è riuscito a crackare il codice del malware e a permettere agli utenti infetti di riprendere il controllo dei dischi fissi.

Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.

A quanto ha scoperto leostone, però, il payload di codifica del ransomware non è perfetto, anzi tutt'altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all'avvio del malware tramite un apposito sito Web.
L'estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.

Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone, anche se le cose potrebbero cambiare piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.

Alfonso Maruccia
Notizie collegate
  • SicurezzaPetya, il ransomware da Master Boot RecordL'ennesima genìa del codice malevolo che prende in ostaggio i file è in grado di rendere inutilizzabile il PC fino al pagamento della somma di denaro richiesta in BTC. Una vocazione distruttiva che richiama al passato
  • SicurezzaOS X, avvistato il ransomwareIl malware crittografico prende di mira anche i sistemi di Apple: Difficile ma non impossibile essere colpiti. Le contromisure sono già state messe in atto
  • SicurezzaRansomware, la salute vale un riscattoLa struttura ospedaliera di Hollywood paralizzata da un ransomware ha scelto di pagare: assecondare le volontà dei cybercriminali è stato il modo più semplice per ripristinare le proprie attività
4 Commenti alla Notizia Petya, decodificato il ransomware
Ordina
  • Sarebbe opportuno evidenziare che il miglior metodo per la protezione dei dati è una soluzione di backup avanzata. Per questo stiamo proponendo una soluzione basata sul software opensource URBACKUP e hardware ODROID - vedasi sito http://www.bakappa.it
    non+autenticato
  • e' un vero e proprio furto che un brufoloso senza ne' arte ne' parte ficchi il naso nei randsomeware, nuovo modello di business del terzo millennio, un sistema che tra diretto ed indotto, occupa centinaia di persone nel comparto del terziario avanzato generando profitti a tutto vantaggio dell'Economia. E' vietato il reverse del codice software, possibile che non se ne rispetti l'eula?
    Speriamo un una nuova version che non presti il fianco a irresponzabili attentatori del profitto sul web.
    non+autenticato
  • - Scritto da: ...
    > e' un vero e proprio furto che un brufoloso senza
    > ne' arte ne' parte ficchi il naso nei
    > randsomeware, nuovo modello di business del terzo
    > millennio, un sistema che tra diretto ed indotto,
    > occupa centinaia di persone nel comparto del
    > terziario avanzato generando profitti a tutto
    > vantaggio dell'Economia. E' vietato il reverse
    > del codice software, possibile che non se ne
    > rispetti
    > l'eula?
    > Speriamo un una nuova version che non presti il
    > fianco a irresponzabili attentatori del profitto
    > sul
    > web.

    Che animo puro che sei, rispettoso del lavoro altrui.
    non+autenticato
  • - Scritto da: Il fuddaro
    > - Scritto da: ...
    > > e' un vero e proprio furto che un brufoloso
    > senza
    > > ne' arte ne' parte ficchi il naso nei
    > > randsomeware, nuovo modello di business del
    > terzo
    > > millennio, un sistema che tra diretto ed
    > indotto,
    > > occupa centinaia di persone nel comparto del
    > > terziario avanzato generando profitti a tutto
    > > vantaggio dell'Economia. E' vietato il reverse
    > > del codice software, possibile che non se ne
    > > rispetti
    > > l'eula?
    > > Speriamo un una nuova version che non presti il
    > > fianco a irresponzabili attentatori del profitto
    > > sul
    > > web.
    >
    > Che animo puro che sei, rispettoso del lavoro
    > altrui.

    Certo. Lui e' uno come l'editore dell'altro giorno, quello che viene qua a dire: "io ho lavorato, adesso mi pagate!"

    Stessa cosa di quelli del ramsonware: loro hanno lavorato e hanno il diritto di essere pagati.