Petya è un malware appartenente alla categoria dei ransomware, comparso di recente. Rispetto a tutti gli altri ransomware introduce un elemento di novità, ad essere crittografati non sono delle particolari estensioni di file, ma il Master Boot Record (MBR), ovvero quella porzione di disco dove vengono memorizzate le istruzioni necessarie all’avvio del sistema operativo.
L’infezione fin’ora ha riguardato in particolare gli utenti di lingua tedesca, e si è trasmesso con una mail di spam che non ha file allegato, ma un link ad un file .exe caricato su dropbox.
Il malware per funzionare ha necessità di disporre di diritti amministrativi, una volta che il file è stato scaricato ed eseguito, se non ne dispone li richiede con l’interfaccia User Access Control.
Se l’utente conferma il sistema va in crash, al riavvio viene mostrata una schermata che simula la funzionalità CHKDSK, utilità di windows per la verifica dei problemi sul disco, comportamento coerente in caso di crash improvviso del sistema, purtroppo però non si tratta della vera funzionalità, ma del malware che è a questo punto entrato in funzione e sta crittografando la Master File Table in cui vengono memorizzati gli indici dei file.
Al termine dell’operazione compariranno le schermate che avvertono che il sistema è stato colpito da Petya
Il falso CHKDSK usando l’algoritmo Salsa20, con una chiave di 32 byte, questo algoritmo è utilizzato per crittografare, decrittografare e verificare la chiave.
Il malware, a differenza di altre varianti di ransomware, richiede molta interazione da parte dell’utente per poter essere pericoloso, occorre fornire i diritti di Amministratore, perché fortunamente non è stato programmato per sfruttare qualche vulnerabilità del software installato sul target per avere dei privilegi superiori. Tuttavia una volta che il pc è infettato ed il sistema è stato riavviato tutti i dati sono quasi definitivamente persi.
Nemmeno scollegando il pc e collegandolo ad un’altro permette di vedere qualcosa sul disco perchè è stata crittograta la Master File Table (MFT), inoltre ripristinando il MBR con l’utilità di Windows i dati andranno persi definitivamente.
Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.