Informatica

NotPetya.

Vi ricordate di WannaCry? Da due giorni è apparso un altro Ransomware che sfrutta i meccanismi del primo (ottenuti “grazie” agli exploit rubati dalla NSA americana) portandoli ad un livello superiore.

Questo nuovo malware ha infettato numerose aziende in diverse parti del mondo, facendo letteralmente strage in Ucraina, dove ad essere messo in tilt è stato anche lo strumento di misurazione del livello di radiazioni della centrale nucleare di Chernobyl.

Dopo questo, l’Ucraina ha accusato la Russia di essere stata lei a creare e mandare il malware, con la Russia che replica sostenendo invece che sia stata l’Ucraina ad organizzare il tutto, visto che anche alcune aziende russe sono state infettate, esasperando ulteriormente le tensioni che ci sono tra i due paesi.

Questo malware, infatti, presenta analogie (nonché una buona parte del codice sorgente) di un altro ransomware russo, chiamato appunto Petya, ma non è una variante dello stesso, ma bensì uno nuovo.

Detto ciò, il paese più infettato dopo l’Ucraina non è la Russia come ci si potrebbe aspettare, ma bensì l’Italia, come confermato dai ricercatori ESET.

Quando ci troviamo nelle parti alte di una qualunque classifica, raramente è per qualcosa di buono.

Ma in soldoni, cosa fa questo malware?

Come tutti i ransomware, cripta i file presenti nel (o negli) hard disk del computer, chiedendo poi di pagare una somma agli autori per poter ottenere una chiave di sblocco per decriptare i file. Ma questo fa di peggio.

Una volta che il pc della vittima è stato infettato, lascia passare un periodo di tempo che varia dai 10 ai 60 minuti dove verifica in maniera silente e in sottofondo se sono aperte alcune porte per veicolare meglio l’attacco e diffondersi eventualmente nella rete interna, comincia a criptare i file con una robusta chiave di sicurezza a sua volta criptata con un’altra ancora più robusta, riavvia Windows in automatico, e una volta partito il riavvio appare questa schermata qui:

Questo lo ottiene criptando il settore principale dell’hard disk responsabile del caricamento del sistema operativo, ovvero il Master Boot Record, sostituendo il Boot Loader (il programma che carica effettivamente il sistema operativo durante l’avvio del computer) di Windows con il suo.

Il recupero dei dati criptati è pressochè impossibile, perché l’indirizzo E-mail presente nella schermata che appare dove la vittima dovrebbe inviare l’equivalente di 300 dollari in valuta Bitcoin, è stata disattivata, e quindi non c’è alcun modo di poter “contattare” il responsabile del malware per ottenere la chiave di sblocco.

E quindi che fare?

Fermo restando di:

  • aggiornare sempre Windows all’ultima versione e se ce l’avete già di aggiornare anche lui mediante Windows Update
  • non aprire allegati E-mail sospetti e di verificare bene prima anche quelli che sembrano legittimi
  • fare un regolare backup di tutti i dati più importanti avendo l’accortezza di staccare le memorie esterne dal computer una volta terminata la copia per non far infettare anche loro
  • usare e tenere aggiornato un buon antivirus
  • riflettere e far funzionare il cervello quando si vuole fare qualcosa prima che intervenga l’antivirus

un modo per bloccare NotPetya è stato trovato da un ricercatore di sicurezza, Amit Serper, che ha individuato il meccanismo di blocco del malware.

  1. Andate nella cartella C:\Windows e verificate se esistono i seguenti file: perfc, perfc.dll e perfc.dat.
  2. Se sono presenti, cancellateli, salvate tutto il salvabile (avete poco tempo per farlo, ricordatevelo), formattate il pc, reinstallate Windows (10 possibilmente) e aggiornatelo con le ultime patch di sicurezza.
  3. Se invece non sono presenti, bisogna crearli vuoti, di modo da ingannare il ransomware e fargli credere che sia già attivo per impedirgli di criptare tutto.

Come si fa? Ve lo spiego ora.

  • Dal Menu Start, cercate (o digitate) Blocco Note, cliccate sopra la sua icona con il testo destro del mouse e selezionate “Esegui come amministratore”.
  • Una volta che si è aperta la finestra del Blocco Note, lasciatela vuota e andate direttamente su File -> Salva.
  • Nella schermata che vi appare, andate dentro la cartella Windows e nella casella sottostante digitate “perfc” premendo poi il tasto Invio, come mostrato nella schermata sottostante:
Clicca per ingrandire.
  • Ripetete i tre punti precedenti per altre due volte, ma stavolta chiamate i file “perfc.dll” e “perfc.dat”.
  • Alla fine dovrete averli così:

Per fare in modo però che il malware non possa fare danni, bisogna rendere questi tre file di sola lettura, quindi non modificabili da lui.

Il tutto è molto semplice:

  1. Selezionare il primo file perfc, cliccarci sopra con il tasto destro del mouse e cliccare su Proprietà.
  2. Nella finestra che appare, cliccare sulla casellina “Sola lettura” accanto alla voce Attributi

  1. Fare click su OK e ripetere la stessa procedura per gli altri due file perfc.dll e perfc.dat.

 

Fatto questo avrete una protezione in più contro il nuovo ransomware, ma attenzione e buon senso dovrebbero essere sempre il primo strumento di difesa.

Chiedo scusa per alcuni tecnicismi ma purtroppo certe cose non si possono spiegare in altra maniera, comunque se avete dubbi o alcune difficoltà su dei passaggi, non fatevi problemi a scriverlo nei commenti.

Ti va di lasciare un commento? Dai che così sorrido

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...