Analizzando il “sequestro” crittografico del disco fisso operato da Petya , un ricercatore noto come leostone è riuscito a crackare il codice del malware e a permettere agli utenti infetti di riprendere il controllo dei dischi fissi.
Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.
A quanto ha scoperto leostone , però, il payload di codifica del ransomware non è perfetto , anzi tutt’altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64 ), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all’avvio del malware tramite un apposito sito Web .
L’estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.
Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone , anche se le cose potrebbero cambiare piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.
Alfonso Maruccia