Via Santa Maria 13, Carvico
+ 39 0354397063 assistenza@proximalab.it
Le migliori soluzioni IT

Epidemia Petya: perché è più pericolosa di altri ransomware

Epidemia Petya: perché è più pericolosa di altri ransomware

Dopo WannaCry, un’altra epidemia di una famiglia particolarmente malevola di ransomware si sta facendo strada su scala globale. Si tratta di un virus che cifra i file e chiede un riscatto in bitcoin, la nota moneta elettronica, per fornire la chiave di decifrazione. I ransomware sono virus molto diffusi, ma questo in poche ore ha mandato in tilt oltre duemila organizzazioni e aziende in vari Paesi, a partire dall’Ucraina e arrivando anche in Italia.

I laboratori di F-Secure hanno confermato che il ransomware usato questa volta è della famiglia di ransomware Petya. E se da una parte l’attuale epidemia presenta similitudini con l’attacco di WannaCry, i ricercatori di sicurezza mettono in guardia sul fatto che la campagna di queste ore è molto più professionale, e potenzialmente di gran lunga peggiore per le aziende.

In modo simile a WannaCry, Petya si diffonde rapidamente attraverso una vulnerabilità usata dal codice di attacco EternalBlue. A differenza però della maggior parte delle famiglie di crypto-ransomware che colpiscono e crittografano i file sul disco fisso della vittima, Petya va a un livello ancora successivo e, ingannando l'utente con un generico messaggio di "riparazione" dell'unità C che lo obbliga al riavvio del PC, crittografa porzioni dello stesso disco fisso così da rendere impossibile accedere a qualsiasi cosa sul disco, incluso Windows.

Questo in particolare è quello che accade:

  • un file malevolo viene eseguito;
  • viene creato un task schedulato per far ripartire la macchina infettata dopo un’ora;
  • mentre si attende il riavvio, Petya va alla ricerca di macchine nella rete su cui propagarsi;
  • dopo aver raccolto gli indirizzi IP da infettare, sfrutta la vulnerabilità SMB e rilascia una copia di se stesso alla macchina presa di mira;
  • dopo il riavvio, la crittografia inizia durante l’avvio, dopodiché viene mostrata la richiesta di riscatto, che prevede il pagamento di 300 dollari in Bitcoin e l’invio di conferma del pagamento a un indirizzo email fornito.

Tuttavia, il servizio di posta elettronica usato dai creatori del ransomware ha chiuso il loro indirizzo email e quindi le vittime possono pagare ma non hanno più modo, per ora, di confermare agli attaccanti il pagamento.

Il ransomware, oltre a cifrare tutti i dati, scarica le credenziali dalla memoria del computer e inizia a diffondersi sulle macchine vicine usando due strumenti di amministrazione di Windows. In questo modo riesce a diffondersi anche su macchine non vulnerabili, per questo molti ricercatori lo considerano più insidioso di WannaCry.
I consigli per la sicurezza forniti per l’attacco di WannaCry sono comunque validi anche in questo caso: aggiornate Windows, configurate il vostro firewall per bloccare il traffico in entrata sulla porta 445 se possibile, usate una protezione per gli endpoint e fate i backup.
I prodotti F-Secure presentano una varietà di misure protettive integrate per aiutarvi a restare protetti nei confronti di Petya e altri tipi di ransomware.

Qui trovate alcune soluzioni per aumentare la vostra sicurezza: