Ne abbiamo già parlato molto in altri nostri precedenti articoli, ed oggi finalmente possiamo presentare la soluzione definitiva ad almeno uno dei ransomware più diffusi negli ultimi mesi, parliamo di Petya. Il ransomware Petya, come tutti i suoi simili, non è altro che un malware creato ad hoc con lo scopo di criptare i file e le cartelle archiviate nei computer infetti, rendendoli quindi inutilizzabili.
Ma le azioni compiute da questo tipo di virus non sono, come accadeva invece per alcuni worm, irreversibili, anzi, come viene dichiarato dal ransomware stesso, è possibile sistemare le cose e riportare il PC allo stato precedente all’infezione, ma solamente pagando un vero e proprio riscatto in Bitcoin all’hacker che ha creato il virus. Petya si presenta sotto forma di un semplice file EXE camuffato all’interno di qualche email o account Dropbox. Il ransomware va a sostituirsi al sistema operativo originale nella sequenza di avvio e, al successivo riavvio del PC, verrà caricato al posto del vero eseguibile del sistema operativo. Una volta avviato, Petya inizia a criptare i file e le cartelle contenute nell’hard disk con una chiave generata attraverso un complesso algoritmo ignoto a chiunque, tranne, ovviamente, al suo creatore.
A questo punto l’unica azione possibile per riavere indietro i file e le cartelle originali, è contattare il pirata che rilascerà la chiave di decrittazione solamente dopo aver ricevuto in cambio una somma di denaro in Bitcoin.
Ma anche i ransomware, come d’altra parte un po’ tutti i programmi, hanno il loro tallone di Achille, e di recente un programmatore esperto in sicurezza ne ha scovato uno proprio nella struttura di Petya. Si, avete capito bene, finalmente è possibile recuperare completamente i dati criptati dal ransomware Petya, vediamo insieme come fare!
Come rimuovere Petya e recuperare i file criptati
Ci si rende conto di essere stati infettati dal ransomware Petya nel momento in cui riuscite a vedere sul monitor solamente la schermata rossa riportata nell’immagine qui sopra, a quel punto, la prima cosa da fare è spegnere il PC. Ora occorre rimuovere l’hard disk dal computer e collegarlo esternamente, tramite porta USB, ad un’altro PC funzionante. Per connettere il vostro hard disk tramite USB potete utilizzare uno dei tanti case esterni in vendita, qui ne potete trovare molti a prezzi molto convenienti. Una volta connesso l’hard disk infetto ad un’altro PC, scaricate da questo link il tool Petya Sector Extractor ed avviatelo, verrà così rilevato automaticamente il settore del disco infettato e potrete, cliccando su Copy Sector, copiarlo direttamente negli appunti.
A questo punto dirigetevi all’indirizzo https://petya-pay-no-ransom.herokuapp.com/ e incollate con CTRL – V nella grande casella bianca il contenuto degli appunti precedentemente copiato. Ora tornate in Petya Sector Extractor, cliccate su Copy Nonce e, tornati nella finestra del browser, incollate sempre con CTRL – V il contenuto nella piccola casella sul fondo. Fatto questo cliccate su Submit e, in meno di un minuto, il sito dovrebbe riuscire a calcolare la chiave di decrittazione con un punteggio (Score) 0. Se non si è riusciti ad ottenere questo punteggio potete riprovare cliccando su Another.
Ora non vi resta che appuntare su un foglio di carta la chiave di decrittazione calcolata, rimettere l’hard disk al suo posto, riavviare il PC e, quando appare la schermata di Petya, digitarla ed attendere che lo stesso ransomware provveda automaticamente a decriptare file e cartelle infetti riportando finalmente il computer allo stato originale.
Ecco fatto, tornato tutto alla normalità? Siete riusciti a rimuovere Petya e recuperare i file criptati? Ottimo, ora non vi testa che iscrivervi alla nostra Newsletter o al nostro Feed RSS per rimanere sempre aggiornati sugli ultimi articoli pubblicati.
TI E’ PIACIUTO L’ARTICOLO?
SE NON LO HAI GIÀ’ FATTO, AIUTACI A CONDIVIDERLO CON I TUOI AMICI
TI BASTA UN PICCOLO CLICK 😉
