Alcuni
esperti di sicurezza hanno sperimentato un metodo che consente agli utenti di
recuperare i dati criptati dal ransomware Petya, senza la necessità di pagare
il riscatto. Petya è
apparso sul “radar” dei ricercatori il mese scorso (ne abbiamo parlato qui),
quando i cyber-criminali hanno cominciato a diffonderlo tramite email di spam.
Il ransomware sostituisce il codice MBR, il quale serve ad avviare il sistema operativo, con un codice che cripta l’MFT e mostra la richiesta di riscatto. L’MFT è un file speciale sul volume NTFS che contiene informazioni riguardo a tutti gli altri file: il loro nome, dimensione, mappatura entro i settori dell’hard disk. I file degli utenti non vengono criptati, ma senza l’MFT, il Sistema Operativo non può conoscere dove sono locati i file sul disco. Usare un tool di Data Recovery per ricostruire i file potrebbe essere possibile, ma non c’è garanzia che funzioni completamente e richiederebbe molto tempo.
Il ransomware sostituisce il codice MBR, il quale serve ad avviare il sistema operativo, con un codice che cripta l’MFT e mostra la richiesta di riscatto. L’MFT è un file speciale sul volume NTFS che contiene informazioni riguardo a tutti gli altri file: il loro nome, dimensione, mappatura entro i settori dell’hard disk. I file degli utenti non vengono criptati, ma senza l’MFT, il Sistema Operativo non può conoscere dove sono locati i file sul disco. Usare un tool di Data Recovery per ricostruire i file potrebbe essere possibile, ma non c’è garanzia che funzioni completamente e richiederebbe molto tempo.
Fortunatamente, alcuni ricercatori hanno ideato un un algoritmo che cracca la chiave necessaria per il ripristino del MFT e debellare l’infezione. Più fonti confermano che il sistema funziona, ma richiede l’estrazione di alcuni dati dal disco infetto: 512 byte partendo dal settore 55 (0x37h) con un offset di 0 e un nonce 8-byte dal settore 54 (0x36), offset 33 (0x21).
Se questo ti suona complicato, non preoccuparti: Fabian Wosar di Emisoft ha creato un tool semplice e gratuito che può fare queste operazioni per te. Lo trovi qui.
I dati estratti dovranno essere immessi in questa applicazione web la quale ti
consegnerà la chiave di crackaggio. Nel Petya Extractor fai click su “copy sector”. Incolla quello che ottieni nell’app web, nel riquadro sotto l’indicazione “Base64 encoded 512 bytes
verification data”
Torna al Petya Extractor e fai click su “copy Nonce” e incolla quello che
ottieni nell’applicazione web, nel riquadro sotto l’indicazione “Base64 encoded
8 bytes nonce”.
Fai click su “submit” e otterrai la chiave di decriptazione.
Fatti questi passaggi, dovrai collegare l’hard disk nel computer originale, eseguire il boot e inserire la chiave nella schermata di riscatto mostrata dal ransomware Petya. Una volta che l’hard drive sarà stato decriptato, il ransomware ti inviterà a riavviare il PC e questo si riavvierà normalmente.
NOTA!
Qualora l'indirizzo https://petya-pay-no-ransom.herokuapp.com/ non funzionasse,
usate https://petya-pay-no-ransom-mirror1.herokuapp.com/
Fonti:
http://www.bbc.com/news/technology-36014810
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
https://blog.kaspersky.com/petya-decryptor/11819/
Nessun commento:
Posta un commento