PDA

Visualizza versione completa : Security Petya, il ransomware da Master Boot Record



Asterix
31-03-16, 07: 38
L'ennesima genýa del codice malevolo che prende in ostaggio i file Ŕ in grado di rendere inutilizzabile il PC fino al pagamento della somma di denaro richiesta in BTC. Una vocazione distruttiva che richiama al passato
Roma - Oltre a essere uno dei business criminali pi¨ in voga, il ransomware Ŕ un tipo di minaccia informatica in costante evoluzione e dalla pericolositÓ sempre crescente. Petya, l'ultimo esemplare di ransomware identificato dai ricercatori, sfrutta un meccanismo di infezione storico per costringere gli utenti a pagare il riscatto per avere indietro i loro file.


Petya arriva sul PC (Windows) sotto forma di allegato malevolo a una email in lingua tedesca, spiegano gli analisti di G-DATA, e una volta in esecuzione riavvia il sistema mimando il caricamento dell'utility di sistema per il controllo dei file su disco (Chkdsk).

In realtÓ il (falso) rapporto di controllo serve a mascherare la codifica dei file su disco, una procedura che include anche il Master Boot Record (MBR) del disco fisso per unitÓ non partizionate in standard GPT.
A infezione avvenuta, il malware visualizza un messaggio che invita a pagare 0,9 Bitcoin (circa 400 dollari) tramite Tor per ripristinare i file. Senza la chiave crittografica ricevuta dopo il pagamento in BTC, avvertono i criminali, i file e l'intero disco fisso non saranno pi¨ accessibili.

Al momento i ricercatori non sono in grado di fornire dettagli sulla possibile decodifica dei dati criptati, e i consigli del caso si limitano a ripristinare i file compromessi con un backup pulito; in ogni caso il riscatto non va pagato (http://www.theregister.co.uk/2016/03/29/petya_ransomware/), avvertono da G-DATA.

A parte il lato "business" del malware, il payload Petya ricorda il funzionamento di Michelangelo: lo storico boot virus per DOS scoperto nel 1992 era progettato per infettare i boot sector dei floppy disk e l'MBR dell'HDD, e infine per sovrascrivere i primi 100 settori del disco rendendolo inutilizzabile. Un'apocalisse tecnologica annunciata a mezzo telegiornale (http://kingofgng.com/2014/03/30/michelangelo-e-melissa-i-virus-informatici-da-isteria-di-massa/) che si rivel˛ essere molto meno grave del previsto

Fonte Punto-Informatico (http://punto-informatico.it/4309007/PI/News/petya-ransomware-master-boot-record.aspx) - Alfonso Maruccia
http://s1.punto-informatico.it/ccpi.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

Andy86
31-03-16, 11: 54
sotto forma di allegato malevolo a una email in lingua tedesca,

Una nota per tutti: il fatto che la mail analizzata sia in lingua tedesca non significa che le mail che arrivano in lingua inglese o italiana o anche in altre lingue siano esenti da virus (questo o altri).

Quindi fate sempre attenzione e non fate affidamento sul fatto che una mail che ricevete abbia o non abbia questa o quell'altra caratteristica descritta in qualche articolo. :sisi

Matisse
31-03-16, 12: 57
Grazie dei vostri avvisi. A me sono arrivate mail in lingua italiana, scorretta, con l'indirizzo di provenienza che finiva in .ru, non le ho aperte ovviamente.