Petya cripta MBR e MFT del disco invece dei documenti

Un ransomware di nome Petya sta facendo parlare di sé perché, a differenza dei criptovirus che criptano i documenti, questo trojan cripta l’intero hard disk. O meglio, l’MBR e l’MFT, aree del disco che servono per permettere al sistema di avviarsi e conoscere dove sono memorizzati i file. E chiede un riscatto, in bitcoin ovviamente.

Il ransomware Petya si diffonde tramite posta elettronica, invitando le vittime a scaricare un file (chiamato “application folder-gepackt.exe”) dal cloud Dropbox e ad avviarlo. Nel momento in cui il malcapitato apre il file, il virus modifica l’MBR del disco e manda il sistema in crash tramite una Blue Screen O Death (la schermata blu tipica di quando Windows va in crash).

Al riavvio del PC viene mostrato un finto chkdsk che fa credere all’utente che è in corso la riparazione del disco C: mostrando il tipico messaggo “Repairing file system on C:” e un conteggio dei settori in fase di verifica, il tutto decisamente realistico.

Il ransomware Petya mostra un fake check disk chkdsk

Terminata questa fase – durante la quale in realtà il ransomware sta criptando l’MFT che contiene l’indice dei file presenti sul sistema, compare sempre in finestra di testo un messaggio su schermo rosso con un teschio e il testo “Press any key”:

Petya Trojan "Press any key" window

che comunica che il PC è vittima del ransomware Petya.

You became victim of the Petya ransomware

La schermata “You became victim of the Petya Ransomware” informa la vittima che il disco del computer è stato criptato con un algoritmo di grado militare e non c’è modo di ripristinare i dati senza una chaive speciale. Ovviamente la chiave è acquistabile sulla darknet seguendo le istruzioni, che consistono in:

  1. Scaricare il software Tor Browser all’indirizzo ufficiale www.torproject.org (alternativamente cercare su Google “access onion page”
  2. Visitare uno dei due indirizzi petya5koahtsf7sv.onion oppure petya37h5tbhyvki.onion
  3. Inserire il codice personale di decryption indicato nella pagina.

Logo del ransomware PetyaAccedendo alla pagina indicata dal ransomware raggiungiamo un sito con un logo contenente la falce e martello della bandiera URSS e la scritta “Petya Ransomware” con caratteri che ricordano il cirillico.

La pagina firmata “Copyright © 2016 Janus Cybercrime Solutions™” e disponibile in diverse lingue informa la vittima che il suo PC è stato criptato (“Your computer has been encrypted“) e viene mostrato un conto alla rovescia che indica il termine scaduto il quale il riscatto verrà raddoppiato.

Petya ransomware - Your computer has been encrypted

Your computer has been encrypted

The hard disks of your computer have been encrypted with an military grade encryption algorithm. It’s impossible to recover your data without an special key. This page will help you with the purchase of this key and the complete decryption of your computer.

The price will be doubled in: 6 days 1 hours  14 minutes   27 seconds

News

24.03.2015

WARNING

Do not restore the MBR with the Windows Recovery Tools. This could destroy your data completly!

There are a lot of wrong informations online. If you are looking for reliable informations, please visit https://blog.gdata.de/2016/03/28222-ransomware-petya-verschlusselt-die-festplatte

16.12.2015

Petya launched

Today we launched the Petya Ransomware Project.

Copyright © 2016 Janus Cybercrime Solutions™

Notiamo che la pagina mostra una sorta di blog aggiornato dal delinquente autore del ransomware, dove nel post del 24 marzo indica come è inutile ripristinare l’MBR poiché i file saranno comunque persi e viene indicato un link del sito GDATA dove secondo il delinquente “si trovano informazioni affidabili”.

Vengono quindi mostrati 4 step che guidano la vittima a ottenere la chiave di decifratura del proprio hard disk. Il primo passo è quello di inserire il proprio identificativo personale di cifratura.

Petya step 1 - enter personal identifier

Step 1: Enter your personal identifier

First you have to enter your personal identifier. This code contains important informations for the decryption process. It’s important that you enter it exactly like shown on the encrypted computer. The code contains a checksum, which prevents typos and ensures a successfull decryption.

Enter your identifier:

Il secondo step contiene le indicazioni per acquistare i bitcoin necessari a pagare il riscatto. Il ransomware Petya richiede il pagamento di 0.93913600 bitcoin e vengono suggeriti i siti www-btcdirect.eu, www.localbitcoins.com e www.coincafe.com per l’acquisto.

Petya step 2 - purchase bitcoins

Step 2: Purchase Bitcoins

Your decryption key can only be purchased with Bitcoins. Bitcoin is a digital currency which can be exchanged from nearly every normal currency. There are a lot of exchange platforms on the internet, most of them are specialized on a single currency. Today buying bitcoins online is very easy and it’s getting simpler every day!

You have to purchase at least the amount shown below. It is recommended to purchase a bit more, to ensure a successfull payment. An extra of 5% should be enough. If you already own enough Bitcoins, you could skip this step.

Demand:

0.93913600 Bitcoins

The following exchanges and marketplaces are recommended:

  • http://www.btcdirect.eu – Sofort Banking, Giropay, Bank Wire, Mastercard and Visa
  • http://www.localbitcoins.com – Bank Wire and Cash
  • http://www.coincafe.com – Instant in NYC, Bank Wire and Mail Cash, Bank Wire and Credit Card

Any kind of Bitcoin-Wallet isn’t required, you can transfer the purchased bitcoins directly to the payment address. If you want create a wallet anyway, http://www.blockchain.com is recommended.

If you successfull bought the right amount of Bitcoins, click “Next” for the next step

Il terzo passo indica all’utente l’indirizzo bitcoin dedicato alla vittima sul quale versare il riscatto. Ad ogni vittima viene dedicato un indirizzo specifico e unico, a differenza dei “vecchi” ransomware che utilizzavano gli stessi indirizzi bitcoin per il pagamento del riscatto di tutte le vittime, condividendo quindi il  saldo e le transazioni.

Petya step 3 - indirizzo bitcoin su cui pagare il riscatto

Step 3: Do a bitcoin transaction

Now you have to send your purchased Bitcoins to the payment address. If you just purchased Bitcoins on a exchange or marketplace site, look for a section called “withdraw” and enter the details shown below. If you already own Bitcoins, send the right amount to the payment address shown below, directly from the wallet you use.

If you have any problems with the transaction, feel free to contact our support.

Address:

1GPQRQ5trbn6WynMDRq3ubbEfPUiyRy1sd

Demand:

0.93913600 Bitcoins

If you successfull made the payment transaction, click “Next” for the next step.

 

A questo punto, il delinquente attende il pagamento del riscatto e, una volta verificata la somma, fornirà il decryptor per decriptare il disco della vittima.

Petya step 4 - wait for confirmation

Step 4: Wait for confirmation

Wait for the confirmation of your payment. This confirmation is done manually and is usually done in about an hour. In some rare cases, the conformation process could take up to 12 hours.

If you have any problems with the transaction, feel free to contact our support.

 

Nel caso in cui la vittima avesse dei problemi, è disponibile una sezione FAQ:

Petya FAQ

FAQ – Frequently Asked Questions

This page lists some frequently asked questions and their answers.

Why is the infection screen shown before windows starts?

Our system has a strong physical low level encryption, which encrypts all of your data storages, include usb devices. Windows repair programs or other diagnositc tools can’t restore any data.

What will happen if I just reinstall my computer?

All your data will be irreversible destroyed and you have to buy a new windows license. Nobody can restore any data without your personal decryption key.

Which encryption algorithms are used?

The RSA (cryptosystem) 4096 bit and Advanced Encryption Standard (AES) 256 bit are used. Both systems are very secure and can’t be bypassed or cracked.

What can i do?

Follow the decryption wizard on this page. It will help you with the payment and the dexryption of your computer. In some cases your personal data will published to the darknet if you don’t pay!

In caso di problemi, è disponibile anche un modulo di contatto per ricevere assistenza e supporto per il pagamento del riscatto in bitcoin.

Pagina di supporto del ransomware Petya

Message history

The messages between you and the support are shown below.

Send message

If you have any problems with the payment or the decryption process, you can send us a message. Please write your message in english, our russian speaking staff is not always available.

Esaminando l’MBR del sistema si nota come sia – ovviamente – stato modificato per mostrare il messaggio su schermo rosso all’avvio.

Petya infetta MBR del disco

Non esistono al momento soluzioni per decriptare l’MBR e recuperare i file, dalle prime prove emerge che viene criptato soltanto l’MFT, quindi con software di carving come Recuva o Photorec è possibile recuperare buona parte dei file, ovviamente in ordine sparso e senza i nomi originali. Notiamo infatti come l’MFT viene criptato utilizzando un pattern particolare dal ransomware Petya, come si può notare dal seguente diff tra un dis.o con Windows 7 non criptato (“sda-clean.bin”) e il corrispondente disco dopo l’infezione e la cifratura dei documenti da parte di Petya.

Petya MFT encryption

I file invece rimangono intatti, come si può notare da questo diff tra l’area dati del disco sano e di quello criptato.

Area disco con i documenti dopo la cifratura del ransomware Petya

Chi desiderasse testare l’infezione può scaricare i payload da questi link che mostrano anche l’analisi eseguita tramite il sito Malwr e gli hash dei sample:

  • https://malwr.com/analysis/ZjE2YzNhNmI5NDAxNDQ4Yjk3ODc0ZDg1ZDU2ZGIwNmM/
  • https://malwr.com/analysis/MzM4YmM4MGU0OTJkNDJmYmFmMDQ2ZDc0OTdlNGE4ZTY/
  • https://malwr.com/analysis/YzA2NDdhZmY3YzRjNDkzZGE3ZjgyYWZlZGViM2RiMGQ/

Si possono trovare su web le analisi eseguite su Hybrid Analysis:

  • https://www.hybrid-analysis.com/sample/26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739
  • https://www.hybrid-analysis.com/sample/b521767f67630b74e2272ee953295ef56c8b6428da75afa5bbfb05b72b34c69d
  • https://www.hybrid-analysis.com/sample/e99eccfc1473800ea6e2e730e733c213f18e817c0c6501209f4ee40408f94951

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *