petya
Petya clonato da Satana, il nuovo ‘ransomware dall’inferno’ russo

Un nuovo ransomware, soprannominato Satana – clone del più noto Petya, è stato descritto dai ricercatori come il “ransomware proveniente dall’inferno“. Gli esperti di sicurezza sostengono che il nome del malware indichi che possa avere “origini russe“.

A denunciare questa nuova minaccia è stata Kaspersky Lab. Satana, dunque, sarebbe in grado non solo di crittografare i file, ma anche bloccare i processi di avvio di Windows per PC. I ricercatori hanno identificato sei indirizzi e-mail utilizzati nella campagna che “servono come informazioni di contatto per le vittime, che dovrebbero scrivere all’indirizzo per ottenere le istruzioni di pagamento e quindi recuperare la chiave di decrittazione“.

Gli hacker dietro il ransomware chiedono circa 0,5 bitcoin ($ 340) per fornire la chiave di decrittazione sia per il MBR che per i file crittografati. “Il Trojan fa due cose: codifica il file e ‘corrompe’ Windows Master Boot Record (MBR), bloccando così il processo di avvio di Windows“, ha dichiarato Kaspersky Lab.

Mettendo in evidenza le somiglianze tra Satana e Petya, i ricercatori di Kaspersky Lab hanno sottolineato che, con Satana, inserendo il proprio codice univoco è possibile per fuorviare l’MBR. Tuttavia, mentre Petya dipendeva da un “Trojan Tagalong”, chiamato Mischa, per crittografare i file dell’utente, Satana è in grado di crittografare in modo indipendente i file, così come bloccare anche i processi MBR. Ciò indica che Satana potrebbe essere stato progettato per superare Petya, assicurando che la maggior parte dei danni possa essere inflitta alle vittime colpite. Inoltre, sembra confermato che Satana abbia un “codice completamente diverso” da Petya e “diverse idee dietro“.

Cos’è l’MBR

L’MBR è una parte fondamentale del disco rigido di un computer che contiene le informazioni sui vari file system utilizzati dalle diverse partizioni del disco. Essa ospita anche informazioni su quale particolare partizione del disco memorizza il sistema operativo. Se l’MBR viene danneggiato – o crittografato – il computer perde l’accesso a una parte critica di informazioni: ad esempio, quale partizione contiene il sistema operativo, appunto. Se il computer non riesce a trovare il sistema operativo, esso non può essere avviato.

Infettando il sistema, gli autori del ransomware vanno poi a scambiare l’MBR con il codice del malware, spostando l’MBR altrove e la crittografia dei dati memorizzati.

Non tutto è perduto

Gli esperti stanno ancora cercando di trovare una soluzione per riguadagnare l’accesso ai file che sono stati crittografati dal ransomware e sembra che le vittime colpite abbiano poca scelta se non pagare il “riscatto” richiesto per recuperare i dati rubati.

Per le persone colpite, c’è però qualche speranza. I ricercatori dicono che c’è un modo per “bypassare parzialmente” il blocco MBR e accedere al sistema. Gli esperti di sicurezza hanno pubblicato istruzioni dettagliate sul modo in cui poter arginare il problema utilizzando le funzionalità di ripristino del PC Windows. Purtroppo, però, tali istruzioni sembra siano pensate per gli utenti esperti e con competenze tecniche avanzate. Inoltre, gli esperti stanno ancora cercando una soluzione per riguadagnare l’accesso ai file dopo che questi sono stati crittografati dal ransomware.

I ricercatori sostengono che Satana sia ancora nella fase di partenza della sua “carriera” di ransomware.”Non è molto diffuso ed i ricercatori hanno individuato alcuni difetti nel suo codice. Tuttavia, c’è una buona probabilità che ‘migliorerà’ nel corso del tempo ed evolverà in minaccia molto seria“, ha previsto Kaspersky Lab.

Satana sembra ora aver catturato l’attenzione dei ricercatori di sicurezza che utilizzano il ransomware come un ammonimento per informare gli utenti riguardo gli hacker in continua evoluzione delle loro tecniche di attacco cibernetico. È ancora incerto il numero di quanti sono già stati colpiti dalla ransomware. “A giudicare dai campioni che abbiamo, questo malware è ancora in fase di sviluppo, quindi dubito che verrà ampiamente distribuito prima che tutto il codice necessario venga implementato“.