Virus (Not)Petya Windows

Il Virus (Not)Petya non è un Ransomeware ma un Wiper distruttore di files!

Il nuovo malware (Not)Petya non è passato inosservato come altri malware e virus giornalieri. In questo sito non ho mai scritto a proposito di Virus e mi sembra un buon TEST di posizionamento su Google per un argomento mai trattato.

Tutti hanno parlato di (Not)Petya e non sarà facile su Google posizionarsi per queste keywords!

In questo momento ho un PC con Windows bloccato, criptato dal Malware che devo formattare. Tuttavia questo articolo ha sopratutto uno scopo informativo per alcuni clienti o amici.

Riscatto Notpetya Malware

Qui alla fine spiego come installare il "vaccino" anche se non ha bisogno di installazione. Il vaccino per (Not)Petya è solo un piccolo file di protezione, che viene scritto nella directory dove si trova il sistema operativo.

La maggioranza dei programmi dannosi appartengono alla categoria Crimeware, in quanto usati dai criminali per trarre profitto dal furto di credenziali, dati e password per ottenere direttamente del denaro.

La seconda categoria di virus è pensata per lo spionaggio informatico. Infatti questi programmi vengono utilizzati da alcuni esperti in attacchi avanzati, che possono coinvolgere rappresentanti dello stato, delle aziende o altri personaggi milionari.

Infine, esiste una terza piccola categoria, molto pericolosa. Si tratta di Wiper (dall'inglese To Wipe = cancellare) come nel caso di (Not)Petya il cui scopo è quello di cancellare dei files.

In questo caso i file di sistema non vengono cancellati ma criptandoli non funziona più nulla!


Come funziona (Not)Petya in sintesi

(Not)Petya utilizza una tecnica di attacco sperimentata da altri virus, che prendono di mira il Master Boot Record e il Master File Table del disco fisso di Windows, bloccando l'avvio del sistema operativo.

Il Master File Table di Windows sarebbe un indice che contiene tutte le informazioni sul posizionamento dei files del sistema operativo in avvio sul disco fisso.

Inoltre (Not)Petya crittogra anche MFT e modifica il Master Boot Record restando inattivo per un periodo di tempo fino a 60 minuti. E dopo forza il riavvio del computer, che subito dopo visualizza la schermata di riscatto.

La procedura per il pagamento del riscatto (300 dollari in Bitcoin) prevede che la vittima effettui il pagamento e dopo invii un email ai pirati informatici con i dati di pagamento, se si vuole ricevere la chiave di sblocco del computer.

L'indirizzo di posta elettronica wowsmith123456@posteo.net comunque è stato bloccato dal gestore del servizio email. E quindi anche pagando il riscatto sarebbe impossibile contattare gli autori del malware, per ottenere la chiave di sblocco.

Non è quindi un vero ransomware, perchè non avrebbe gli strumenti necessari per associare la chiave crittografica al computer infetto. E quindi anche per i pirati sarebbe impossibile decriptare e rendere di nuovo accessibili i dati sul disco fisso.

Il paradosso della storia sarebbe che gli stessi pirati informatici non possono sbloccare nulla!


Check-Disk dopo il riavvio del computer

In questo pagina ho insertito le schermate di un PC con il sistema operativo Windows XP professional. Tuttavia le procedure sono identiche per qualsiasi altro sistema operativo Windows e versione successiva.

La prima schermata che (Not)Petya visualizza non è quella del riscatto a caratteri rossi, ma una schermata DOS a caratteri bianchi dove si richiede di aspettare un CHKDSK del sistema operativo.

Non dovete attendere ma spegnere subito il PC se visualizzate questa schermata, togliendo l'alimentazione o batteria, perchè si tratta di un falso messaggio solo per ingannare l'utente.

Il malware non sta riparando il disco ma prepara la criptazione dei files!

Scandisk PC Windows

Se si spegne il computer in questo momento (senza mai più avviarlo) tutti i files sono al sicuro e non possono essere criptati. Si possono recuperare dopo con un CD dove salvarli, entrando con un altro sistema operativo, anche Linux volendo.

Se invece visualizzate la schermata rossa significa che tutti i files sono stati criptati e decriptarli non sarà un'operazione semplice. La soluzione al momento non è stata ancora trovata e bisogna solo formattare.

Io anche per questi motivi, non conservo mai files e documenti importanti nello stesso disco dove si trova il sistema operativo. Se il sistema non dovesse avviarsi e funzionare per qualsiasi motivo non avrei perso nulla di importante.

Tutta questa vicenda ha dei risvolti paradossali in quanto non è possibile pagare nessun riscatto in bitcoins e anche pagandolo non si risolve il problema alla fine.


Eseguire Vaccino.bat su Windows

Avviso di Windows

Non appena avrete cliccato sul file Vaccino.bat una finestra di avviso di Windows chiederà se volete eseguire il file. Cliccate solo su Esegui senza problemi e andare avanti per completare l'operazione di scrittura dei files di protezione.

Non appena aperto il file BAT uscirà un prompt di questo tipo a conferma. Non dovete fare nulla se non premere il tasto invio o chiudere la finestra, in quanto si tratta solo di un messaggio di conferma che il PC è stato vaccinato.

Prompt PC Windows

Il trucco qui consiste nel fatto che il malware è stato programmato per installarsi una volta sola. Trovando questi files (innoqui) pensa che il computer sia stato già infettato e non viene eseguito.

Per essere sicuri che i files siano stati creati potete anche fare una ricerca Windows interna. Tutti i file che servono da protezione sono quelli visualizzati nell'immagine seguente.


Il vaccino per (Not)Petya è solo un file batch non eseguibile!

Ricerca Files Windows

Nel sistema operativo Windows un file con estensione BAT è un solo un file di testo, che contiene una sequenza di istruzioni in un linguaggio di scripting per l'interprete dei comandi del sistema operativo.

Notate che facendo una ricerca interna usciranno decine di files che contengono la keyword Perfc ma sono questi 4 file che interessano, incluso Vaccino.bat che scrive 3 files di protezione.


Vaccino (Not)Petya Scarica il vaccino (Not)Petya apri il file e poi eseguilo!

01-07-2017 © Carmelo Raccioppi