Sorprendente la notizia di queste ore: due ricercatori informatici hanno reso possibile decrittare i file presi in ostaggio dal terribile virus Ransomware Petya
immagine gratuita offerta da Pixabay
Petya è un virus crittografico con riscatto, fa parte della grande famiglia dei Ransomware che stanno assillando non solo i semplici utenti, ma anche grosse aziende (immaginate un ospedale sotto ricatto, ad esempio).Molti di voi sapranno che questo genere di virus blocca l'accesso ai file di un Pc, lasciando comunque operativo il sistema, ma chiedendo perentoriamente un riscatto entro pochi giorni. Come già descritto nel nostro precedente articolo, Petya è uno dei cryptovirus più terribili perché attacca il Master Boot Record ed esegue una crittografia completa del Master File Table. Una notizia sorprendente, però, è arrivata poche ore fa: il virus è stato esaminato e craccato: ora è possibile sbloccare le unità crittografate senza l'obbligo di pagare un riscatto in Bitcoin.
Petya craccato: tutorial da parte di Bleeping Computer
I Ransomware utilizzano una protezione crittografica per bloccare i file su un hard-disk, impossibile da scardinare se non con la chiave che si può ottenere solo dai criminali informaticì che hanno creato questo virus. La somma del riscatto spesso varia da poche centinaia alle decine di migliaia di euro, spesso l'unico modo per riottenere i dati è quello di pagare (sperando che i criminali mantengano la parola). Da poco tempo, invece, si è scoperto che l'ultimo, temibile, Ransomware in circolazione, chiamato Petya, può essere disabilitato recuperando tutti i dati.
@leo-and-stone utente Twitter che ha sconfitto Petya
Un ricercatore informatico, analizzando Petya, ha scoperto una vulnerabilità anche piuttosto “grossolana”. In realtà è vero che era subito possibile aggirare il blocco del Pc che mostrava continuamente lo schermo con il minaccioso messaggio della richiesta del riscatto, ma il problema era che tutti i dati continuavano a rimanere crittografati e quindi impossibili da utilizzare. Da pochi giorni, invece, è stato rilasciato un tool,lo troverete a fondo articolo, che consente di “annullare” il nefasto influsso di Petya riuscendo a recuperare tutti i dati crittografati.
Da segnalare comunque che il disco rigido “infettato” deve essere estratto ed installato su un Pc con un sistema operativo Windows e libero da infezioni. L'operazione “manuale” descritta dal primo ricercatore, per recuperare i dati, è abbastanza complessa, ma è appunto apparso un altro tool in rete che semplifica il tutto: il Petya Sector Extractor creato da Fabian Wosar.
Bleeping Computer, una società di informatica specializzata nella sicurezza, ha verificato la procedura e confermato che i dati possono essere recuperati in modo integrale. Nel suo sito è presente anche un tutorial che aiuta gli utenti infettati dal Ransomware Petya.La chiave crittografica per sbloccare i contenuti è già presente nella macchina della vittima, ma viene protetta per risultare irraggiungibile. Un errore di programmazione, scoperto da questi ricercatori, ha creato una breccia nella vulnerabilità consentendo a chiunque divenire in possesso della chiave di sblocco senza pagare nulla.
Attenzione alle prossime versioni di Petya
La procedura e il tool proposto funzionano, anche se è meglio che la procedura sia fatta da un esperto. Occorre però tener presente che gli autori di Petya correranno ai ripari ed è facile che nelle prossime settimane si diffonda un nuovo Petya senza più la vulnerabilità della chiave crittografica da mettere in chiaro.
Il consiglio è sempre lo stesso, fate i backup. In passato abbiamo consigliato ad esempio i migliori programmi di backup gratuiti. Un altro ottimo consiglio è disabilitare Flash, si è visto infatti che i virus Ransomware possono entrare da lì. Attenzione inoltre agli allegati, leggete questo articolo sulle visualizzazioni nascoste nelle email e quest'altro articolo sulle false email di Equitalia.
Link: tool Petya Sector Extractor