Ransomware Petya torna rinnovato

In quest’epoca ormai tormentata da attacchi di tutti i generi per ledere il prossimo o guadagnare in modo illecito, arrivano segnalazioni di un Ransomware “rivisto e corretto” che torna a mietere vittime in un modo diverso dal solito, sebbene il metodo sia sempre lo stesso, ovvero criptare i files, chiedere riscatto in bitcoin, e fooooooooooorse, una volta pagato, riavrai indietro i tuoi files.

Petya, o come viene chiamato adesso, NotPetya, visto il presunto ceppo d’origine, cripta direttamente l’intero Master Boot Record, ovvero il primo blocco di dati contenenti le istruzioni necessarie per l’avvio del sistema operativo, mentre la modalità di infezione è sempre la stessa, un allegato infetto che, una volta attivato, richiederà il riavvio del sistema, così da avviare un finto CHKDSK che eseguirà invece la criptazione dei dati.

Le Contromisure

Fortunatamente, come per WannaCry, pare sia stato già trovato il killswitch, una sorta di “vaccino”, utile per fermare la diffusione di questo malware:

Copiare un qualsiasi file o crearlo da zero, possibilmente di pochi kb, rinominarlo perfc.dll, posizionarlo all’interno della cartella c:\windows  e renderlo sola lettura, questo dovrebbe bastare ad ostacolare la diffusione di questo malware, nel caso dovreste in futuro incapparvi.

Un altro metodo, consiste nel spegnere immediatamente il PC non appena il ci si rende conto che il finto CHKDSK comincia la criptazione dei files, come dimostra l’immagine del tweet, con tanto di minaccia di perdita dei files se si interrompe il processo, sti bugiardi.

Ovviamente, una volta cominciato il processo di criptazione dei dati, parte di essi potrebbero essere persi e/o il sistema operativo potrebbe risultare corrotto, in questo caso munitevi di una live distro Linux e dateci sotto con il recupero dei dati.

Il Killswitch in breve

Il malware, per essere sicuro di non trovarsi in un ambiente “chiuso”, (tipico di chi studia i malware, ovvero creatori di sistemi appositi che tendono ad assecondare il malware in tutte le sue richieste), verifica l’esistenza di un file/sito web o altro, in questo caso, come indicato da Amit Serper sul suo tweet, del file “perfc.dll” nella cartella c:\windows.

Il perfc.dll ovviamente è un dll inesistente, per cui il malware, assicuratosi che il file sia inesistente come previsto, prosegue con l’infezione, mentre, verificandone l’effettiva esistenza, lo si riesce ad ingannare facendogli credere di trovarsi in un sistema atto allo studio dello stesso, cosa che i creatori del malware vogliono evitare.

Per quanto riguarda WannaCry la situazione era simile, ma anziché verificare l’esistenza di un file locale, il malware si indirizzava verso un sito web inesistente, cosa che invece è stata ostacolata a livello globale grazie ad un ragazzo che ha registrato tale dominio per pochi soldi, salvando così i tanti sistemi aziendali a rischio infezione. Un vero atto eroico no?

La Prevenzione

Ovviamente, è sempre buona azione utilizzare SEMPRE le ultime versioni dei sistemi operativi, (questo vale per qualsiasi ecosistema), tenerli aggiornati, e sopratutto, fare sempre quanti più backup possibili. Si sa poi che, il vero virus in realtà è l’utente che utilizza il PC, specie se ignaro di quello che fa. La vera prevenzione è l’informazione sull’informatica di base, come ad esempio l’imparare a diffidare di email sospette, cosa che purtroppo viene tutt’oggi presa ancora sotto gamba.

About Hyde Serizawa

Musicista, Videogamer e Videomaker a tempo (molto) perso, appassionato di tecnologia e di Giappone. hydeserizawa.com | youtube.com/HydeSerizawa