mercoledì 13 aprile 2016

Risolto il ransomware Petya!


Alcuni esperti di sicurezza hanno sperimentato un metodo che consente agli utenti di recuperare i dati criptati dal ransomware Petya, senza la necessità di pagare il riscatto.
Petya è apparso sul “radar” dei ricercatori il mese scorso (ne abbiamo parlato qui), quando i cyber-criminali hanno cominciato a diffonderlo tramite email di spam.  Il ransomware sostituisce 
il codice MBR, il quale serve ad avviare il sistema operativo, con un codice che cripta l’MFT e mostra la richiesta di riscatto. L’MFT è  un file speciale sul volume NTFS che contiene informazioni riguardo a tutti gli altri file: il loro nome, dimensione, mappatura entro i settori dell’hard disk. I file degli utenti non vengono criptati, ma senza l’MFT, il Sistema Operativo non può conoscere dove sono locati i file sul disco. Usare un tool di Data Recovery per ricostruire i file potrebbe essere possibile, ma non c’è garanzia che funzioni completamente e richiederebbe molto tempo.

Fortunatamente, alcuni ricercatori hanno ideato un un algoritmo che cracca la chiave necessaria per il ripristino del MFT e debellare l’infezione. Più fonti confermano che il sistema funziona, ma richiede l’estrazione di alcuni dati dal disco infetto: 512 byte partendo dal settore 55 (0x37h) con un offset di 0 e un nonce 8-byte dal settore 54 (0x36), offset 33 (0x21).

Se questo ti suona complicato, non preoccuparti: Fabian Wosar di Emisoft ha creato un tool semplice e gratuito che può fare queste operazioni per te. Lo trovi qui.
Visto però che il computer infetto non potrà più eseguire il boot in Windows, usare il tool richiede che l’hard disk venga estratto e collegato ad un altro PC non infetto, dove il tool potrà avviarsi.



I dati estratti dovranno essere immessi in questa applicazione web  la quale ti consegnerà la chiave di crackaggio.  Nel dettaglio:
Nel Petya Extractor fai click su “copy sector”. Incolla quello che ottieni nell’applicazione web, nel riquadro sotto l’indicazione “
Base64 encoded 512 bytes verification data”

Torna al Petya Extractor e fai click su “copy Nonce” e incolla quello che ottieni nell’applicazione web, nel riquadro sotto l’indicazione “Base64 encoded 8 bytes nonce”.


Fai click su “submit” e otterrai la chiave di decriptazione.

Fatti questi passaggi, dovrai collegare l’hard disk nel computer originale, eseguire il boot e inserire la chiave nella schermata di riscatto mostrata dal ransomware Petya.

Una volta che l’hard drive sarà stato decriptato, il ransomware ti inviterà a riavviare il PC e questo si riavvierà normalmente.


NOTA!
Qualora l'indirizzo https://petya-pay-no-ransom.herokuapp.com/ non funzionasse,
usate https://petya-pay-no-ransom-mirror1.herokuapp.com/


Fonti:
http://www.bbc.com/news/technology-36014810
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
https://blog.kaspersky.com/petya-decryptor/11819/

Nessun commento:

Posta un commento