Petya, il ransomware che attacca l’MBR

Naviga SWZ: Home Page » How To
News del 19 Ottobre 16 Autore: Fabio Ferraro
La continua evoluzione dei ransomware sembra non volersi interrompere. Questi malware sono una vera minaccia per i dati presenti nei nostri computer, essendo in grado di prendere in “ostaggio” i file, criptandoli. Per riottenere l’accesso ai dati criptati, lo sviluppatore del software malevole richiede un pagamento, spesso nella valuta digitale Bitcoin, che ammonta a diverse centinaia di euro. Nei mesi precedenti abbiamo visto come i ransomware possano attaccare diversi sistemi operativi (non solo Windows quindi, ma anche Mac OSXLinux) o piattaforme web.

Petya, il ransomware che attacca l’MBR - immagine 1

Fino ad ora, i ransomware si erano però limitati a un semplice (si fa per dire) criptaggio dei dati presenti in un hard disk. Da qualche giorno si sta però divulgando, soprattutto in Germania e in Nord Europa, una nuova tipologia di ransomware, capace di interferire con il corretto funzionamento dell’MBR di un hard disk: Petya.

Petya, il ransomware che attacca l’MBR - immagine 2

Ma cosa è l’MBR? L’MBR (Master Boot Record o settore di avvio principale) è una porzione della memoria di un dispositivo riservata al bootloader (ossia alle istruzioni che permettono l’avvio del sistema operativo) e alla tabella delle partizioni del supporto di memorizzazione. Se l’MBR venisse compromesso, la macchina non sarebbe quindi in grado di avviare il sistema. Petya è in grado di integrarsi all’MBR di un computer e sostituirne il bootloader per poi criptografare il contenuto della tabella delle partizioni. Quest’ultimo processo causerà la perdita di tutti i riferimenti ai file, essenziali per il corretto riconoscimento da parte del sistema, criptando nome, dimensioni, posizioni sul disco etc.
La divulgazione di questo ransomware avviene, come sempre, tramite email, sotto forma di allegato. Una volta avviato l’eseguibile, il sistema si riavvierà e, dopo una bluescreen, inizierà quello che potrà sembrare un semplice chkdsk, rivelandosi invece la fase di criptaggio da parte di Petya.

Petya, il ransomware che attacca l’MBR - immagine 3

Al termine del finto chekdsk, apparirà una schermata rossa in cui saranno presenti un teschio, l’avviso di essere stati infettati da Petya e tutte le informazioni utili per il pagamento del riscatto, che ammonta a 0,9 bitcoin (circa 330 €).

Petya, il ransomware che attacca l’MBR - immagine 4

Petya è rivolto agli utenti Windows, e può causare maggiori danni per chi ha installato nella propria macchina un Bios piuttosto del più aggiornato UEFI. Infatti, in quest’ultimo ambiente, il ransomware potrà danneggiare il bootloader, senza però procedere al criptaggio delle tabelle di partizione. Come sempre, il consiglio rimane quello di diffidare di email invitate da enti non attendibili e, soprattutto, effettuare sempre una copia di backup dei propri dati, in modo da poterli ripristinare in caso di infezione.

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE