Virus Petya: cos’è e come decriptare i file

Il virus Petya blocca l’hard disk e cripta i file. Ecco di cosa si tratta e come decriptare i documenti.

virus petya decriptare

I Ransomware sono dei particolari tipi di malware che infettano il sistema richiedendo un riscatto per riavere i propri dati. Come abbiamo visto per il virus cryptolocker, queste minacce informatiche sono particolarmente insidiose e potenti. Di recente si è diffuso un nuovo ransomware chiamato Petya, che infetta direttamente il settore MBR dell’hard disk.

Prima di descrivere come si prende questo virus, come agisce e come risolvere il problema, andiamo a vedere che cos’è il settore MBR dell’hard disk. La sigla MBR sta per Master Boot Record e si tratta del settore iniziale di un disco fisso, composto dai primi 512 byte, che elenca la sequenza per avviare comandi ed istruzioni necessarie all’avvio del sistema operativo. Senza questa sezione, il PC sarebbe inutilizzabile perché non viene proprio eseguito il sistema, senza avere la possibilità di accedere ai propri dati.

Petya viene trasmesso generalmente tramite allegato email, ed è stato inviato in particolar modo ai dipartimenti delle risorse umane, perché i dipendenti tendono maggiormente ad aprire gli allegati eseguendo il virus a loro insaputa. L’allegato viene caricato sul famoso servizio Dropbox, che ormai è di uso comune. Appena si scarica l’allegato dell’email e si lancia il file, Windows avvisa che si sta per eseguire un software potenzialmente pericoloso. Tuttavia questo messaggio non sempre ferma l’utente, che può proseguire l’avvio del file installando il virus.

petya criptazione

Il malware Petya si installa nel MBR del PC, riavvia il computer mostrando un finto messaggio del CHKDSK, che indica un problema sul disco fisso con il messaggio: “One of your disks contains errors and needs to be repaired”. In realtà questa finta procedura simulata dal virus, completa il processo di installazione del malware Petya. Successivamente viene mostrato un teschio in carattere ASCII che comunica di essere stati vittima di un virus. Infine è indicata una procedura da seguire per riavere il controllo del proprio PC, collegandosi alla rete anonima TOR e pagando 0,9 Bitcoin, ovvero circa 400 dollari, per risolvere il problema. In questo filmato è possibile vedere come avviene il contagio da Petya.

Il virus blocca l’accesso a Windows, cripta i file presenti sul computer, cripta il MFT (Master File Table) ovvero l’area del disco dove sono archiviate le informazioni dei file e delle cartelle, ed impedisce l’utilizzo della macchina. Alcune fonti sostengono che utilizzando le funzionalità integrate sul CD Windows è possibile ripristinare il MBR, tuttavia in tal caso i file restano comunque criptatati e bisogna reinstallare Windows perdendo tutto.

 

Come decriptare i file dal virus Petya

Di recente alcuni ricercatori hanno trovato una falla del malware Petya. Per poter eliminare e rimuovere il virus, decriptando anche file, cartelle e documenti presi in ostaggio, è possibile eseguire una procedura gratuita.

La prima cosa da fare è scollegare l’hard disk infetto e collegarlo come unità secondaria ad un altro PC, utilizzando un classico adattatore da SATA ad USB come mostrato nell’immagine, oppure una docking station.

docking station petya

Poi bisogna scaricare un tool da questo link, chiamato Petya Extractor, ed avviare il software sul computer. A questo punto è necessario cliccare su “Copy Sector” per copiare i primi 512 byte e salvarli nel blocco note di Windows. Poi si deve premere su “Copy Nonce” per estrarre un altro codice ad 8 byte.

Successivamente ci si può collegare al sito Petya Pay No Ransom ed incollare il testo dei 512 byte nella prima sezione e quello da 8 byte nella seconda sezione.

Premendo su “Submit” il servizio genera la chiave che consente di decriptare l’hard disk con tutti i file. A questo punto è sufficiente ricollegare l’hard disk criptato nel PC precedente, avviarlo ed inserire il codice generato dal tool. Dopo pochi secondi inizia la decriptazione, al termine della quale il sistema si riavvia e dovrebbe partire normalmente.

Per gli ultimi aggiornamenti sul tool è possibile consultare il profilo Twitter ufficiale dello sviluppatore.

 

Virus Petya: conclusioni

Il malware Petya è davvero molto potente ed insidioso, tuttavia grazie ad una falla scoperta dai ricercatori è possibile risolvere il problema. Se hai riscontrato questo virus e non sai come procedere, puoi contattarci per un preventivo.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone