Petya Ransomware: cos’è, chi è stato colpito e cosa fare

Nicola Ligas -

Nella giornata di ieri, 27 giugno 2017, un nuovo attacco ransomware ha colpito diversi paesi del mondo, Italia inclusa. Si tratta di una variante del virus Petya. Dopo WannaCry, è il secondo attacco su scala globale nel giro di poco tempo.

Cos’è il Ransomware Petya / NotPetya?

I ransomware sono un tipo di malware che chiedono il riscatto (=ransom). L’idea di base è quella di inibire l’accesso ai dati, o al dispositivo stesso, da parte degli utenti. La soluzione proposta è di pagare un riscatto per sbloccare i propri file. Ma non lo pagate! (vedi sotto)

L’attacco di ieri è stato portato avanti con una variante del già noto ransomware Petya, chiamata NotPetya proprio perché si differenzia comunque molto dall’originale. Il nuovo Petya sfrutterebbe poi lo stesso exploit EternalBlue di WannaCry per accedere alla rete, per poi diffondersi tramite PsExec all’interno di questa. I PC che sono quindi stati aggiornati in seguito a WannaCry dovrebbero essere immuni dal contagio.

L’esito dell’infezione è alquanto “classico”. I computer Windows infetti vengono infatti criptati con una chiave privata. Per sbloccarli è necessaria una chiave di decifratura, che verrà fornita solo in caso di pagamento del riscatto.

Chi è stato colpito?

Secondo i dati riportati da ESET, l’infezione sarebbe partita dall’Ucraina, compromettendo il software di contabilità M.E.Doc, utilizzato da istituti bancari, aeroporti e altre aziende. Sempre secondo ESET, l’Italia è tra i paesi più colpiti, seconda solo all’Ucraina. Battezzato Win32/Diskcoder.C Trojan, questo ransomware blocca l’intero OS Windows, criptando la tabella MFT del filesystem NTFS.

Bisogna pagare il riscatto?

No, nella maniera più assoluta. E non solo come indicazione generale, ma perché sarebbe inutile, e non ricevereste comunque la chiave per sbloccare il vostro computer.

Petya chiede infatti alle sue vittime di inviare 300$ di pagamento tramite un unico indirizzo Bitcoin, associato alla mail wowsmith123456@posteo.net, cui le vittime dovrebbero poi scrivere il proprio ID univoco fornito dal malware stesso, in modo da ricevere la specifica chiave di decifratura per il loro PC. Peccato che Posteo abbia disabilitato tutti gli account “wowsmith”, rendendo quindi impossibile per gli hacker questo scambio di email, ed impedendo quindi alle vittime di ricevere l’agognata chiave.

Pagando il riscatto donereste insomma solo denaro a chi ha diffuso l’infezione, senza riceverne alcun beneficio in cambio.

Come proteggersi da Petya  / NotPetya

Se non siete tra le vittime di questo nuovo ransomware ma volete comunque tutelarvi, la buona notizia è che “c’è un vaccino” (fonte). Tutto quello che dovete fare è creare un file chiamato perfc nella cartella C:\Windows e renderlo di sola lettura.

Il modo più semplice di procedere è cliccare col tasto destro del mouse in un punto vuoto di una cartella (es. download) e creare un nuovo file di testo, che chiamerete appunto perfc, eliminando l’estensione .txt. Spostate poi questo file nella cartella di Windows, fornendo i privilegi di amministratore se necessario. Cliccateci poi sopra col tasto destro del mouse, e selezionate la casella “sola lettura” nella finestra che si sarà aperta.

Non siamo comunque in grado di verificare l’efficacia di questo metodo, e comunque valgono sempre le considerazioni generali di tenere il sistema aggiornato ed utilizzare software anti-virus/malware.

Microsoft ha confermato che gli utenti Windows 10 (e Windows 10 S) sono protetti da questo attacco.

Come rimuovere Petya  / NotPetya

Ci sono tantissime guide online che cercano di spiegare come rimuovere Petya / NotPetya, e proprio questa omonimia non sempre aiuta a distinguere quelle più aggiornate. Si tratta però di specchietti per le allodole, perché ad oggi non c’è un metodo verificato per rimuovere il malware e soprattutto per recuperare i dati. Multipli antivirus (es. Avira) promettono protezione, ma anche questa è al più “immunizzazione” e non spiega come ripristinare le macchine già colpite. Nel momento in cui dovesse essere disponibile una soluzione ufficiale, aggiorneremo questo stesso articolo.

Come recuperare i dati

Riportiamo un comunicato appena diffuso da Kaspersky Lab, che lascia poche speranze aperte per il recupero dei dati

I ricercatori di Kaspersky Lab suggeriscono che le vittime del ransomware ExPetr abbiano poca speranza di recuperare i propri dati. Infatti, analizzando il codice ad alto livello della sequenza di crittografia è stato scoperto che, dopo la crittografia del disco, i criminali non possono decriptare i file delle vittime. Per decriptare il disco delle vittime è necessario l’ID d’installazione. Nelle versioni precedenti di ransomware “simili” come Petya/Mischa/GoldenEye l’ID d’installazione conteneva le informazioni necessarie per il ripristino. ExPetr, invece, non prevede un ID d’installazione. Ciò significa che i cyber criminali non possono estrarre le informazioni necessarie per la decriptazione. Quindi, le vittime non possono recuperare i propri dati. Inoltre, Kaspersky Lab ha identificato una delle fonti d’infezione del ransomware ExPetr, scoprendo l’attacco rivolo al sito ucraino della regione di Bakhmut, hackerato e usato per diffondere il ransomware tra i visitatori attraverso un drive-by-download del file nocivo. In base alle informazioni ottenute fino ad ora, non è stato usato alcun exploit specifico per infettare le vittime, alle quali è stato invece inviato il file dannoso sotto forma di aggiornamento Windows.

  • Andrea Guzzon

    Articolo impreciso:
    – da petya prende parte di codice, indubbiamente, ma se ne distacca in diversi punti
    – non sfrutta eternal Blue per lo spread in rete, ma solo per l’infezione di macchine in reti locali, a differenza di Wannacry. I vettori di diffusione primaria sono più canonici. Inoltre usa anche altri servizi di rete (PsExec e WMIC) che aumentano il numero di macchine a rischio (ovvero le macchine connesse in LAN con una infetta non sono al sicuro nemmeno se eternal Blue e patchata)

    • Scusa ma, l’hai letto bene?
      1) non ho mai detto che non si distacchi da Petya, anzi, e cito testualmente: ” si differenzia comunque molto dall’originale”.
      2) eternalBlue è usato per accedere alla rete, come ho scritto, non per diffondersi, dove infatti ho citato lo stesso PsExec di cui parli

      • Andrea Guzzon

        Non voleva essere un’accusa in alcun modo, se lo è sembrato me ne scuso.
        I due dettagli erano sul paragone con petya che come mi hai fatto notare non è così marcato (errore mio, lettura poco attenta), ma più che altro sul definire “al sicuro” i PC che hanno ricevuto la patch per eternalblue; quello non è propriamente vero una volta che un computer in rete è infetto, per questo parlavo di PsExec/WMIC

        Chiedo ancora scusa se il tutto è sembrato polemico, a volte non rileggendo i commenti sembrano più di quel che sono 😅

        • No figurati, basta che le informazioni riportate siano chiare per tutti, è un argomento sensibile e non da sottovalutare