Il ransomware è un malware che si differenzia dalle altre infezioni in quanto cripta i file del malcapitato utente e richiede un riscatto (ransom in inglese) pagabile in BitCoin. Il pagamento consente di ottenere la chiave di decodifica e quindi l’accesso ai file compromessi.
E’ da diverso tempo che i cybernauti di tutto il mondo convivono con i costanti attacchi di questi malware, la cui diffusione è diventata ormai virale. A parte casi specifici come USB Thiefindividuato dai ricercatori ESET, da CryptoLocker a Nemucod il mezzo di diffusione è sempre il medesimo: allegati infetti alle e-mail.
I ricercatori ESET hanno identificato la minaccia come Win32/Diskcoder.Petya, ne hanno poi analizzato la prima variante chiamata Win32/Diskcoder.Petya.B, che si comporta esattamente come un trojan.
Win32/Diskcoder.Petya.B si presenta come allegato malevolo di una e-mail, che una volta eseguito riavvia il sistema fingendo il caricamento dell’utility di sistema per il controllo dei file su disco (Chkdsk), mentre contemporaneamente infetta i settori MBR (Master Boot Record) del disco.
Dopo aver compromesso il sistema, il malware visualizza un messaggio che invita a pagare 0,9Bitcoin (circa 400 dollari) tramite Tor per ripristinare i file.
Secondo l’avvertimento mostrato dai criminali, senza la chiave crittografica ricevuta dopo il pagamento in BTC i file e l’intero disco fisso non saranno più accessibili.
Naturalmente è opportuno non cedere al ricatto, semplicemente creando dei backup su unità esterne non collegate ai PC, per ripristinare i dati in seguito ad una eventuale infezione.
Gli esperti del settore e gli addetti ai lavori, troveranno in Win32/Diskcoder.Petya.B un nuovo Michelangelo, lo storico boot virus per DOS scoperto nel 1992 che fu progettato per infettare i settori di avvio dei floppy disk e l’MBR del disco rigido, che poteva sovrascrivere i primi 100 settori del disco rendendolo inutilizzabile.
Tratto da ESET BLOG