Ransomware Petya “bucato”, file crittografati restituiti senza riscatto

Arriva una buona notizia, il “potente” Ransomware definito Petya è stato crakkato da un utente. Giusto per chi ancora non conoscesse il Ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione.

Di Petya ci eravamo occupati qualche giorno fa in questo articolo

La novità di queste ore è che la chiave crittografica usata per cifrare il contenuto della MFT può essere recuperata autonomamente.

Alcuni ricercatori, infatti, hanno scoperto che la chiave di decodifica, il cui inserimento è fondamentale per recuperare i file in “ostaggio” del malware, può avere una lunghezza compresa fra 16 e 73 ma solamente i primi 16 caratteri alfanumerici (quindi solo lettere maiuscole, minuscole e numeri) vengono considerati da Petya.

Sono nati due siti web che aiutano l’utente nel processo di codifica della chiave, i siti sono

Routine di decodifica
Routine di decodifica sito 2

L’applicazione web richiede l’inserimento dei primi 512 bytes contenuti nell’hard disk; quelli che cominciano in corrispondenza del settore 55 (0x37h), offset 0(0x0)

Come fare ad estrarli?

Questi dati devono poi essere convertiti con un encoding Base64 ed inseriti sulla webapp di leostone. Si tratta di un’operazione certamente non alla portata di tutti, ma che può essere eseguita facilmente con il tool Petya Sector Extractor sviluppato da un altro ricercatore, Fabian Wosar.

Il famoso sito di sicurezza Bleeping Computer ha testato il tutto e ha confermato che il tutto è vero. Ha altresì realizzato una procedura che guida l’utente step by step. Eccovi il link alla procedura

I criminali potrebbero ben presto accorgersi della Falla e sistemare il tutto, il consiglio è sempre quello di stare attenti a ciò che si fa…. 😉




Reply