Sicurezza

Petya, messo a nudo il ransomware che blocca il computer

Arrivata all’inizio di aprile, la notizia di un ransomware in grado di attaccare l’MBR del disco fisso aveva suscitato un polverone.

A distanza di un mese, gli esperti di Kaspersky hanno pubblicato una relazione dettagliata sul funzionamento di Petya e sulle tecniche che utilizza per crittografare e decodificare i dati contenuti nei settori più “delicati” dell’hard disk.

La sorpresa è che il trojan non è così complesso come si pensava. Secondo Fedor Sinitsyn, Petya ha semplicemente combinato alcune tecniche già conosciute per ottenere un risultato “a effetto”.

In pratica, il malware prima attacca l'MBR per impedire il corretto avvio del PC e poi codifica tramite crittografia (teoricamente) forte il Master File Table, rendendo così illeggibili tutti i file memorizzati sui dischi fissi NTFS. 

 Una volta completata la crittografia del MFT, il computer viene bloccato con una versione “personalizzata” della classica schermata blu.

BSOD
Al termine della crittografia Petya visualizza una schermata di errore piuttosto particolare…

Da questo momento il PC è inservibile e sullo schermo compaiono soltanto le istruzioni per il pagamento del riscatto attraverso i soliti Bitcoin.

Il sistema di crittografia, però, non è così solido come si potrebbe pensare e, già dallo scorso 8 aprile, alcuni ricercatori indipendenti hanno pubblicato un metodo per decodificare il Master File Table.

Nella sua relazione Sinitsyn affronta anche un aspetto interessante della vicenda, legato alle origini del trojan e al gruppo che lo ha distribuito sul Web.

I cyber-criminali, infatti, avrebbero fatto di tutto per dare l’impressione di essere russi, inserendo nelle pagine Web immagini con falce e martello e caratteri simili al cirillico.

web
Il logo nella pagina Web sembra una parodia del simbolo dell’URSS.

In realtà, la campagna di distribuzione di Petya racconta un’altra storia. Gli esemplari finiti nelle mani di Kaspersky, infatti, sono stati diffusi attraverso una campagna di spam via email a cui era allegato il virus, “camuffato” in modo da sembrare un curriculum vitae in lingua tedesca.

Il sospetto, quindi, è che si trattasse di un tentativo di colpire gli uffici del personale delle aziende con sede in Germania.

email
Il trojan è stato camuffato per sembrare un CV in lingua tedesca.

La pista russa, comunque, non è completamente esclusa. In una delle pagine Web dedicate al pagamento del riscatto, infatti, compare la frase “Per favore scrivete il vostro messaggio in inglese, il nostro personale di lingua russa non è sempre disponibile”.

Un riferimento che fa pensare al fatto che almeno uno dei membri del gruppo sia di lingua russa.