I ransomware (malware che infettano disco rigido o unità SSD cifrando documenti che diventano impossibili da aprire se non si paga un riscatto) stanno diventando sempre più d diffusi con cybercriminali alla costante ricerca di metodi sofisticati per incrementare la pericolosità delle “infezioni”. Un nuovo ransomware denominato Petya prende di mira gli utenti PC Windows sovrascrivendo il master boot record (MBR) dell’unità con il sistema operativo rendendo impossibile l’avvio del sistema.
Il Master Boot Record (MBR) è il settore che contiene la sequenza di comandi/istruzioni necessarie all’avvio (boot) del sistema operativo, tipicamente il boot manager/boot loader del sistema. Nel MBR sono memorizzate informazioni sulle partizioni e sul boot loader che permette di avviare il sistema. Senza il MBR, il computer non sa qual è la partizione che contiene il sistema operativo e dunque come e da dove partire.
Ne parla Trend Micro spiegando che il malware Petya è diffuso tramite email, mascherate come annunci di lavoro e dunque con in mente target che potrebbero essere dipendenti alla ricerca di nuovi lavori. Il programma malevolo sovrascrive il Master Boot Record attivando la comparsa di un errore che tipicamente compare quando Windows non è in grado di avviare il sistema. Dopo la finta comparsa della schermata con lo schermo blu della morte (BSOD), appare una finta videata che mostra il controllo del disco in corso e che in realtà non fa altro che cifrare la master file table (MFT), cambiando inoltre nome ai file, modificando la loro dimensione e rimappando i settori del disco fisso.
È possibile accedere ai dati collegando il disco a un diverso computer ma ovviamente i documenti saranno illeggibili. A un certo punto compare una schermata con un teschio disegnato con caratteri ASCII e le istruzioni su come pagare il riscatto. Il prezzo richiesto è pari a 0.99 bitcoin (BTC), circa 430 dollari. Al momento la campagna con messaggi spam di Petya ha riguardato in modo particolare la Germania ma è probabile che la vedremo anche in altri paesi, Italia inclusa.
