martedì 19 aprile 2016

Ransomware Petya decriptare il disco e recuperare i dati

Il ransomware Petya ha un comportamento molto diverso rispetto ai comuni ransomware visti fin'ora: Petya non cifra i file ma porzioni del disco fisso impedendo l'accesso a qualsiasi file in esso contenuto. Anche in questo caso per lo sblocco del sistema viene richiesto un riscatto.

Il ransomware viene diffuso prevalentemente tramite email all'interno della quale è presente in allegato un link che provvede a scaricare e installare Petya sul sistema. Una volta installato, il ransomware provvede a sostituire il Master Boot Record (MBR) del disco fisso con un proprio loader quindi procede al riavvio di Windows dopo aver visualizzato una schermata BSOD (Blue Screen of Death). All'avvio viene eseguito il loader di Petya che visualizza una schermata del tutto analoga al CHKDSK di Microsoft al fine di rassicurare l'utente. In questa fase il ransomware procede a cifrare la Master File Table (MFT) rendendo i file del disco inaccessibili.
Petya CHKDSK
FIG 1 - Petya CHKDSK

Terminato il finto CHKDSK ci si trova di fronte alla schermata di blocco visualizzata in FIG 2 (verrà visualizzata ad ogni avvio).
Petya schermata di blocco
FIG 2 - Petya schermata di blocco

Premendo un qualsiasi tasto viene visualizzata la schermata con le istruzioni su come pagare il riscatto utilizzabile anche per l'inserimento della chiave di sblocco.
Petya istruzioni per il riscatto
FIG 3 - Petya istruzioni per il riscatto


Decriptare il proprio Hard Disk

L'utente di Twitter leostone  ha creato una pagina Web che permette di generare la chiave per decriptare il disco, prima, però, è necessario estrarre alcuni dati dal disco: 512 byte di verifica dal settore 55 (0x37) offset 0 (0x0) e 8 byte dal settore 54 (0x36) offset 33(0x21) codificati in Base 64. Vediamo in dettaglio come procedere:
  • L'hard disk va smontato e collegato ad un'altro PC (tramite USB oppure montato all'interno della macchina);
  • Scaricare ed eseguire il tool Petya Sector Extractor  creato da Fabian Wosar;
  • Il tool esegue la scansione del sistema per individuare, tra gli hard disk connessi, il disco infettato da Petya. Una volta individuato il disco infetto viene automaticamente selezionato.

    Petya Sector Extractor
    FIG 4 - Petya Sector Extractor
  • Dal proprio browser aprire la pagina https://petya-pay-no-ransom.herokuapp.com/ (nel caso in cui la pagina non fosse raggiungibile è possibile provare ad accedere al mirror https://petya-pay-no-ransom-mirror1.herokuapp.com/). All'interno di tale pagina ci sono due caselle di testo denominate Base64 encoded 512 bytes verification data e Base64 encoded 8 bytes nonce nella quali andranno inseriti i dati estratti dal tool.

    Petya estrazione della chiave
    FIG 5 - Petya estrazione della chiave
  • Dal tool Petya Sector Extractor cliccare sul pulsante Copy Sector per copiare i dati estratti dal disco all'interno della clipboard quindi, sulla pagina web indicata nel passo precedente, cliccare all'interno della casella di testo denominata Base64 encoded 512 bytes verification data e incollare il testo tramite la combinazione di tasti CTRL+V
  • Ritornare al tool Petya Sector Extractor e questa volta cliccare sul pulsante Copy Nonce. Sulla pagina web cliccare all'interno della casella denominata Base64 encoded 8 bytes nonce e incollare i dati con CTRL+V
  • Sempre sulla pagina Web cliccare sul pulsante Submit per procedere all'estrazione della chiave. Prendere nota della chiave che viene visualizzata.
  • Rimontare l'hard disk sul PC originale e avviare il sistema. Alla schermata di blocco di Petya (quella che visualizza il disegno del teschio) premere un tasto e, nella schermata successiva (FIG 3), inserire la chiave che è stata calcolata. A questo punto il ransomware inizia a decriptare il disco
  • Quando l'operazione è terminata verrà chiesto di riavviare e il sistema si avvierà normalmente.


2 commenti:

  1. Salve,
    circa un anno fa (gennaio 2015), il mio computer è stato infettato da CTBlocker e tutti i file (con estensione .jpg, .pdf, ecc) sono stati criptati. L’estensione di questi file è “.wgsyztk”.
    Ho conservato i file danneggiati, raggruppandoli in una cartella, sperando di riuscire prima o poi a decriptarli. Ora a distanza di un anno, volevo sapere se esiste una soluzione.
    Grazie in anticipo!

    Marco

    RispondiElimina
    Risposte
    1. Purtroppo non c'è modo di decriptare i dati cifrati con CTB-Locker

      Elimina

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.