NoCryptolocker

PETYA - NotPetya - Petna sono delle evoluzioni del ransomware Wannacry, solo con caratteristiche più avanzate.

​

 

Vengono distribuiti tramite e-mail spam (con allegati dannosi).

​

Ogni e-mail contiene un file HTA che, una volta eseguito, estrae un file JavaScript ( "closed.js"), collocandolo nel sistema nella cartella "% temp%". 

​

Il file Javascript estrae un eseguibile con un nome casuale e lo esegue. L'eseguibile poi inizia a crittografare i file utilizzando la crittografia RSA.
 

 

 

 

 

 

 

 

 

 

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

 

 

 

 

​​
​
​

Come accennato in precedenza, i file sono criptati utilizzando RSA (un algoritmo di crittografia asimmetrica) e, quindi, una chiave pubblica (crittografia) e una privata (decodificazione) vengono generate durante il processo di crittografia. 

La decrittografia senza la chiave privata è impossibile. Inoltre, la chiave privata è anche criptata utilizzando la crittografia AES, rendendo la situazione ancora peggiore. Così come per la crittografia dei file, Jaff disattiva Windows Startup Repair, cancella le copie shadow del volume, e cambia BootStatusPolicy.

 

​
Come decriptare file cifrati da PETYA - NotPetya - Petna? 
Potete recuperare i miei dati?
​
No, purtroppo al momento nessuno è in grado di recuperare i files criptati da PETYA.

 

L'email associata al ransomware,  wowsmith12345@posteo.net è inoltre disattivata.

​

 

Cosa posso fare per proteggermi? * PETYA VACCINE *

 

Il PETYA Vaccine, ovvero la protezione del vostro pc può essere attivata con questi semplici step:

​

1) Create un file dentro c:\windows chiamato "perfc​" (senza nessuna estensione)

2) Impostate il file in modalità di sola lettura (read-only) 

 

Semplice no? Sembra impossibile ma adesso i vostri pc sono vaccinati contro PETYA, che non sarà più in grado di infettarvi!!
​

​
​