Petya Ransomware: cos'è, chi è stato colpito e cosa fare

Nella giornata di ieri, 27 giugno 2017, un nuovo attacco ransomware ha colpito diversi paesi del mondo, Italia inclusa. Si tratta di una variante del virus Petya. Dopo WannaCry, è il secondo attacco su scala globale nel giro di poco tempo.

I ransomware sono un tipo di malware che chiedono il riscatto (=ransom). L'idea di base è quella di inibire l'accesso ai dati, o al dispositivo stesso, da parte degli utenti. La soluzione proposta è di pagare un riscatto per sbloccare i propri file. Ma non lo pagate! (vedi sotto)

L'attacco di ieri è stato portato avanti con una variante del già noto ransomware Petya, chiamata NotPetya proprio perché si differenzia comunque molto dall'originale. Il nuovo Petya sfrutterebbe poi lo stesso exploit EternalBlue di WannaCry per accedere alla rete, per poi diffondersi tramite PsExec all'interno di questa. I PC che sono quindi stati aggiornati in seguito a WannaCry dovrebbero essere immuni dal contagio.

L'esito dell'infezione è alquanto "classico".

I computer Windows infetti vengono infatti criptati con una chiave privata. Per sbloccarli è necessaria una chiave di decifratura, che verrà fornita solo in caso di pagamento del riscatto.

Secondo i dati riportati da ESET, l'infezione sarebbe partita dall'Ucraina, compromettendo il software di contabilità M.E.Doc, utilizzato da istituti bancari, aeroporti e altre aziende. Sempre secondo ESET, l'Italia è tra i paesi più colpiti, seconda solo all'Ucraina. Battezzato Win32/Diskcoder.C Trojan, questo ransomware blocca l'intero OS Windows, criptando la tabella MFT del filesystem NTFS.

No, nella maniera più assoluta. E non solo come indicazione generale, ma perché sarebbe inutile, e non ricevereste comunque la chiave per sbloccare il vostro computer.

Petya chiede infatti alle sue vittime di inviare 300$ di pagamento tramite un unico indirizzo Bitcoin, associato alla mail wowsmith123456@posteo.net, cui le vittime dovrebbero poi scrivere il proprio ID univoco fornito dal malware stesso, in modo da ricevere la specifica chiave di decifratura per il loro PC.

Peccato che Posteo abbia disabilitato tutti gli account “wowsmith”, rendendo quindi impossibile per gli hacker questo scambio di email, ed impedendo quindi alle vittime di ricevere l'agognata chiave.

Pagando il riscatto donereste insomma solo denaro a chi ha diffuso l'infezione, senza riceverne alcun beneficio in cambio.

Se non siete tra le vittime di questo nuovo ransomware ma volete comunque tutelarvi, la buona notizia è che "c'è un vaccino" (fonte). Tutto quello che dovete fare è creare un file chiamato perfc nella cartella C:\Windows e renderlo di sola lettura.

Il modo più semplice di procedere è cliccare col tasto destro del mouse in un punto vuoto di una cartella (es. download) e creare un nuovo file di testo, che chiamerete appunto perfc, eliminando l'estensione .txt. Spostate poi questo file nella cartella di Windows, fornendo i privilegi di amministratore se necessario. Cliccateci poi sopra col tasto destro del mouse, e selezionate la casella "sola lettura" nella finestra che si sarà aperta.

Non siamo comunque in grado di verificare l'efficacia di questo metodo, e comunque valgono sempre le considerazioni generali di tenere il sistema aggiornato ed utilizzare software anti-virus/malware.

Microsoft ha confermato che gli utenti Windows 10 (e Windows 10 S) sono protetti da questo attacco.

Ci sono tantissime guide online che cercano di spiegare come rimuovere Petya / NotPetya, e proprio questa omonimia non sempre aiuta a distinguere quelle più aggiornate. Si tratta però di specchietti per le allodole, perché ad oggi non c'è un metodo verificato per rimuovere il malware e soprattutto per recuperare i dati. Multipli antivirus (es. Avira) promettono protezione, ma anche questa è al più "immunizzazione" e non spiega come ripristinare le macchine già colpite. Nel momento in cui dovesse essere disponibile una soluzione ufficiale, aggiorneremo questo stesso articolo.

Riportiamo un comunicato appena diffuso da Kaspersky Lab, che lascia poche speranze aperte per il recupero dei dati

I ricercatori di Kaspersky Lab suggeriscono che le vittime del ransomware ExPetr abbiano poca speranza di recuperare i propri dati.

Infatti, analizzando il codice ad alto livello della sequenza di crittografia è stato scoperto che, dopo la crittografia del disco, i criminali non possono decriptare i file delle vittime. Per decriptare il disco delle vittime è necessario l’ID d’installazione. Nelle versioni precedenti di ransomware “simili” come Petya/Mischa/GoldenEye l’ID d’installazione conteneva le informazioni necessarie per il ripristino. ExPetr, invece, non prevede un ID d’installazione. Ciò significa che i cyber criminali non possono estrarre le informazioni necessarie per la decriptazione. Quindi, le vittime non possono recuperare i propri dati. Inoltre, Kaspersky Lab ha identificato una delle fonti d’infezione del ransomware ExPetr, scoprendo l’attacco rivolo al sito ucraino della regione di Bakhmut, hackerato e usato per diffondere il ransomware tra i visitatori attraverso un drive-by-download del file nocivo. In base alle informazioni ottenute fino ad ora, non è stato usato alcun exploit specifico per infettare le vittime, alle quali è stato invece inviato il file dannoso sotto forma di aggiornamento Windows.