Visualizzazione post con etichetta Petya. Mostra tutti i post
Visualizzazione post con etichetta Petya. Mostra tutti i post

domenica 16 luglio 2017

Ransomare Petya: Rilasciata la master key

L'autore o gli autori del ransomware Petya hanno rilasciato la master key per decriptare i dati cifrati da tutte le versioni del malware che includono:

  • Prima versione di Petya (teschio bianco su sfondo rosso visualizzato al boot del sistema);
  • Seconda versione di Petya che include il ransomware Mischa (teschio verde su sfondo nero);
  • Terza versione conosciuta come GoldenEye (teschio giallo su sfondo nero).

Schermata visualizzata al boot dalla prima versione di Petya
FIG 1 - Schermata visualizzata al boot dalla prima versione di Petya

 La master key è stata rilasciata dall'utente Janus attraverso Twitter e può essere scaricata da Mega.nz
Tweet dell'utente Janus che annuncia il rilascio della master key
FIG 2 - Tweet dell'utente Janus che annuncia il rilascio della master key

 Anton Ivanov, ricercatore di sicurezza di Kaspersky, ha verificato e confermato la validità della chiave.

Il ransomware Petya non va confuso con NotPetya che, anche se è nato modificando la versione originale del ransomware Petya, è stato creato da un'altro gruppo e adotta una routine di cifratura diversa.


Pubblicato da alle Nessun commento:
Etichette: , , , ,

martedì 19 aprile 2016

Ransomware Petya decriptare il disco e recuperare i dati

Il ransomware Petya ha un comportamento molto diverso rispetto ai comuni ransomware visti fin'ora: Petya non cifra i file ma porzioni del disco fisso impedendo l'accesso a qualsiasi file in esso contenuto. Anche in questo caso per lo sblocco del sistema viene richiesto un riscatto.

 Il ransomware viene diffuso prevalentemente tramite email all'interno della quale è presente in allegato un link che provvede a scaricare e installare Petya sul sistema. Una volta installato, il ransomware provvede a sostituire il Master Boot Record (MBR) del disco fisso con un proprio loader quindi procede al riavvio di Windows dopo aver visualizzato una schermata BSOD (Blue Screen of Death). All'avvio viene eseguito il loader di Petya che visualizza una schermata del tutto analoga al CHKDSK di Microsoft al fine di rassicurare l'utente. In questa fase il ransomware procede a cifrare la Master File Table (MFT) rendendo i file del disco inaccessibili.
Petya CHKDSK
FIG 1 - Petya CHKDSK

 Terminato il finto CHKDSK ci si trova di fronte alla schermata di blocco visualizzata in FIG 2 (verrà visualizzata ad ogni avvio).
Petya schermata di blocco
FIG 2 - Petya schermata di blocco

 Premendo un qualsiasi tasto viene visualizzata la schermata con le istruzioni su come pagare il riscatto utilizzabile anche per l'inserimento della chiave di sblocco.
Petya istruzioni per il riscatto
FIG 3 - Petya istruzioni per il riscatto

Decriptare il proprio Hard Disk

L'utente di Twitter leostone  ha creato una pagina Web che permette di generare la chiave per decriptare il disco, prima, però, è necessario estrarre alcuni dati dal disco: 512 byte di verifica dal settore 55 (0x37) offset 0 (0x0) e 8 byte dal settore 54 (0x36) offset 33(0x21) codificati in Base 64. Vediamo in dettaglio come procedere:
  • L'hard disk va smontato e collegato ad un'altro PC (tramite USB oppure montato all'interno della macchina);
  • Scaricare ed eseguire il tool Petya Sector Extractor  creato da Fabian Wosar;
  • Il tool esegue la scansione del sistema per individuare, tra gli hard disk connessi, il disco infettato da Petya. Una volta individuato il disco infetto viene automaticamente selezionato.

    Petya Sector Extractor
    FIG 4 - Petya Sector Extractor
  • Dal proprio browser aprire la pagina https://petya-pay-no-ransom.herokuapp.com/ (nel caso in cui la pagina non fosse raggiungibile è possibile provare ad accedere al mirror https://petya-pay-no-ransom-mirror1.herokuapp.com/). All'interno di tale pagina ci sono due caselle di testo denominate Base64 encoded 512 bytes verification data e Base64 encoded 8 bytes nonce nella quali andranno inseriti i dati estratti dal tool.

    Petya estrazione della chiave
    FIG 5 - Petya estrazione della chiave
  • Dal tool Petya Sector Extractor cliccare sul pulsante Copy Sector per copiare i dati estratti dal disco all'interno della clipboard quindi, sulla pagina web indicata nel passo precedente, cliccare all'interno della casella di testo denominata Base64 encoded 512 bytes verification data e incollare il testo tramite la combinazione di tasti CTRL+V
  • Ritornare al tool Petya Sector Extractor e questa volta cliccare sul pulsante Copy Nonce. Sulla pagina web cliccare all'interno della casella denominata Base64 encoded 8 bytes nonce e incollare i dati con CTRL+V
  • Sempre sulla pagina Web cliccare sul pulsante Submit per procedere all'estrazione della chiave. Prendere nota della chiave che viene visualizzata.
  • Rimontare l'hard disk sul PC originale e avviare il sistema. Alla schermata di blocco di Petya (quella che visualizza il disegno del teschio) premere un tasto e, nella schermata successiva (FIG 3), inserire la chiave che è stata calcolata. A questo punto il ransomware inizia a decriptare il disco
  • Quando l'operazione è terminata verrà chiesto di riavviare e il sistema si avvierà normalmente.


Pubblicato da alle 2 commenti:
Etichette: , , , ,
Iscriviti a: Post (Atom)