L’azienda di Redmond ha comunicato che i computer infettati da Petya sono stati meno di ventimila, la maggior parte in Ucraina.
Mentre gli esperti di sicurezza informatica ancora non trovano un accordo sul nome da dare all’attacco hacker che a inizio settimana ha messo KO l’Ucraina (alcuni lo definiscono Petya, altri NotPetya), Microsoft esce allo scoperto e tramite un post pubblicato sulla Rete ha fatto un punto sulla situazione.
Il dato più importante è sicuramente quello inerente il numero di computer infettati. Mentre WannaCry ha colpito più di 300mila dispositivi, Petya si è fermato solamente a 20mila, di cui il 70% in Ucraina. Un fatto piuttosto insolito e che potrebbe fornire alcuni indizi sulla provenienza dell’attacco ransomware: è probabile che dietro alla diffusione di Petya ci siano degli hacker russi. Ma la certezza ancora non c’è. Il numero così basso di computer infettati è molto semplice da spiegare: i pirati informatici hanno incluso all’interno del codice del virus un timer: se entro sessanta minuti dal contagio, l’utente riavvia il computer, il ransomware non provoca nessun danno.
Questo timer ha salvato migliaia di utenti da una sicura infezione da parte dell’attacco ransomware. Per chi non lo sapesse, i ransomware sono un particolare tipo di virus che blocca l’accesso ai dati del computer e per tornarne in possesso, l’utente deve pagare un riscatto. Nel caso di Petya la cifra era di 300 dollari in Bitcoin.
Windows 7 il sistema operativo più colpito
Dai documenti condivisi dai ricercatori di Microsoft si evince che il sistema operativo più colpito resta Windows 7. Infatti su Windows 10, l’attacco ransomware non ha avuto nessun effetto. Questo a causa del tipo di falla che Petya sfrutta per infettare i computer: il virus utilizza EternalBlue una cyber arma sviluppata dalla NSA che riesce a penetrare nei computer attraverso il protocollo SMB, usato dai computer collegati in Rete per comunicare tra di loro. La falla era stata già “tappata” da Microsoft a marzo, ma in molti non hanno aggiornato il sistema operativo e il virus ha sfruttato la mancanza degli utenti.
Recuperare i dati è quasi impossibile
I ricercatori dell’azienda di Redmond hanno constatato che il recupero dei dati è quasi impossibile e che non esiste nessuna chiave capace di de-crittografare l’hard disk. Ma sono stati riscontrati due casi in cui il ransomware non riesce a infettare il computer. In presenza di un antivirus Kaspersky, il ransomware distrugge i primi dieci settori dell’hard disk, mentre se sul computer è presente un antivirus Symantec il virus è inefficace e non riesce a sfruttare la falla SMB.