Petya codifica la Master File Table

Inizialmente, i ransomware erano soliti bloccare il desktop dell’utente-vittima. In seguito, essi hanno iniziato a cifrare i file. Subito dopo, i blocker si sono lanciati all’assalto dei server web, delle unità disco condivise e delle copie di backup. Cosa ci attende, ancora, nell’immediato futuro?

Permetteteci, per il momento, di presentarvi Petya, il malware estorsore che prende di mira il Master Boot Record. Questo ransomware è stato scoperto nel corso delle analisi eseguite riguardo ad una campagna di spam a “tiratura” limitata, condotta nei confronti di funzionari degli uffici del personale di società tedesche. Esso codifica la Master File Table (MFT) del computer compromesso, per poi richiedere il pagamento di un riscatto pari a 0,9 bitcoin (circa 380 dollari USD) per la relativa chiave di decrittazione.

Secondo i ricercatori di BleepingComputer, lo spam malevolo contiene un link a Dropbox; tale collegamento ipertestuale, una volta attivato, genera il download dell’installer del programma estorsore. Una volta lanciato, Petya sostituisce l’MBR con un loader maligno, il quale provoca il riavvio di Windows, e fa sì che l’utente visualizzi, sul proprio schermo, una sorta di simulazione della procedura di controllo del disco (CHKDSK).

[youtube https://www.youtube.com/watch?v=3Ixtt8LVpTk&w=560&h=315]

“Nella fase in cui avviene il controllo CHKDSK fasullo, Petya provvede a cifrare, in background, la Master File Table del disco, – scrivono i ricercatori sul loro blog. – Una volta che la MFT è stata corrotta, o per meglio dire – in questo caso – cifrata, il computer non è più in grado di determinare né la posizione dei file, né l’esistenza degli stessi; in tal modo, i file divengono completamente inaccessibili”.

Successivamente, la vittima visualizzerà, prima dell’avvio di Windows, la richiesta relativa al pagamento del riscatto; attraverso una minacciosa schermata viene quindi comunicato, all’utente sottoposto ad attacco, che l’hard drive è stato cifrato; vengono inoltre fornite, in maniera dettagliata, le informazioni necessarie per giungere sul sito web allestito dagli attacker, collocato nella rete Tor, ed effettuare poi il pagamento in bitcoin. Al momento attuale, secondo BleepingComputer, non esiste alcun metodo o strumento per poter decodificare la Master File Table; è soltanto possibile rimuovere il blocco dello schermo (falso CHKDSK), per mezzo del comando FixMBR, o tramite il ripristino del Master Boot Record. In quest’ultimo caso l’infezione verrà eliminata, ma il prezzo da pagare sarà davvero molto alto; l’operazione, in effetti comporta la reinstallazione di Windows e la perdita dei dati.

Petya, in sostanza, altro non è se non l’ultimissimo esempio di introduzione, nell’ambito del ransomware, di una funzionalità in grado di rendere particolarmente complessa l’analisi del malware e di ostacolare in maniera considerevole le contromisure a livello di protezione IT. Poco prima della comparsa di Petya, è stato individuato un ulteriore blocker “innovatore”, PowerWare, attraverso il quale i malintenzionati hanno sperimentato un singolare metodo di infezione fileless.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *