Petya / NotPetya Ransomware

Petya (NotPetya) Ransomware

A causa dell'estensione globale del ransomware, molti ricercatori si sono accalcati per analizzarlo, sperando di trovare una scappatoia nella sua crittografia o un dominio killswitch che avrebbe impedito la diffusione, simile a WannaCry. Quando un computer è infetto, il ransomware crittografa documenti e file importanti e poi richiede un riscatto, in genere in Bitcoin, per una chiave digitale necessaria per sbloccare i file. Il malware sembra condividere una quantità significativa di codice con un vecchio ransomware che in realtà si chiamava Petya, ma nelle ore successive all'avvio dell'epidemia, Kaspersky Lab ha rifatto il malware NotPetya.

Come si diffonde?

Il software dannoso si diffonde rapidamente all'interno di un'organizzazione. A differenza di WannaCry, questa versione di "Petya" tenta di diffondersi internamente all'interno delle reti, ma non di esternalizzarsi esternamente. Questo potrebbe aver limitato la diffusione finale del malware, che sembra aver visto una diminuzione del tasso di nuove infezioni durante la notte.
Prende il controllo dei computer e richiede $ 300, pagati in Bitcoin. Una volta che un computer è stato infettato utilizzando la vulnerabilità EternalBlue in Microsoft Windows (Microsoft ha rilasciato una patch, ma non tutti l'avranno installata) o tramite due strumenti di amministrazione di Windows.

C'è un vaccino?

Analizzando i meccanismi interni del ransomware, Serper è stato il primo a scoprire che NotPetya avrebbe cercato un file locale e avrebbe abbandonato la sua routine di crittografia se quel file esisteva già su disco.

I risultati iniziali del ricercatore sono stati successivamente confermati da altri ricercatori sulla sicurezza, come PT Security, TrustedSec ed Emsisoft. Ciò significa che le vittime possono creare quel file sul proprio PC, impostarlo in sola lettura e bloccare l'esecuzione di NotPetya ransomware.

Mentre questo impedisce l'esecuzione del ransomware, questo metodo è più una vaccinazione che un kill switch. Questo perché ogni utente di computer deve creare autonomamente questo file, rispetto a un "switch" che lo sviluppatore ransomware potrebbe attivare per impedire globalmente tutte le infezioni ransomware.

Come vaccinare il tuo computer manualmente?

Innanzitutto, configura Windows per mostrare le estensioni dei file. Per coloro che non sanno come farlo, puoi usare questa guida. Assicurati che l'opzione Opzioni cartella per Nascondi estensioni per tipi di file conosciuti sia deselezionata come di seguito:

Dopo aver abilitato la visualizzazione delle estensioni, che dovresti sempre aver abilitato, apri la cartella C: \ Windows. Una volta aperta la cartella, scorrere verso il basso fino a visualizzare il programma notepad.exe.

Una volta visualizzato il programma notepad.exe, fai clic con il tasto sinistro su di esso una volta in modo che sia evidenziato. Quindi premi Ctrl + C per copiare e poi Ctrl + V per incollarlo. Quando lo incolli, riceverai un messaggio che ti chiede di concedere l'autorizzazione per copiare il file.

Premi il pulsante Continua e il file verrà creato come Blocco note - Copy.exe. Fare clic con il tasto sinistro su questo file e premere il tasto F2 sulla tastiera e cancellare il blocco note - Nome del file Copy.exe e digitare perfc come mostrato di seguito.
Una volta che il nome del file è stato modificato in perfc, premi Invio sulla tastiera. Ora riceverai un messaggio che ti chiederà se sei sicuro di voler rinominarlo.

Clicca sul pulsante Sì. Windows chiederà nuovamente il permesso di rinominare un file in quella cartella. Clicca sul pulsante Continua.
Ora che il file perfc è stato creato, ora dobbiamo renderlo di sola lettura. Per farlo, fai clic con il tasto destro del mouse sul file e seleziona Proprietà come mostrato di seguito:

Il menu delle proprietà per questo file verrà ora aperto. In fondo sarà una casella di controllo chiamata sola lettura. Metti un segno di spunta in esso come mostrato nell'immagine qui sotto.

Ora fai clic sul pulsante Applica e poi sul pulsante OK. La finestra delle proprietà dovrebbe essere chiusa e il tuo computer dovrebbe ora essere vaccinato contro NotPetya / SortaPetya / Petya Ransomware.

Come prevenire gli attacchi Ransomware

Esegui il backup dei tuoi file

Il maggior danno che le persone subiscono da un attacco di ransomware è la perdita di file, incluse immagini e documenti.

La migliore protezione contro il ransomware è quella di eseguire il backup di tutte le informazioni e i file sui dispositivi in ​​un sistema completamente separato. Un buon posto per farlo è su un disco rigido esterno che non è connesso a Internet. Ciò significa che se subisci un attacco non perderai alcuna informazione agli hacker.

Le aziende spesso salvano copie dei loro dati su server esterni che non saranno interessati se la loro rete principale viene attaccata.

Siate sospettosi di e-mail, siti Web e app

Affinché il ransomware funzioni, gli hacker devono scaricare software dannoso su un computer delle vittime. Questo viene quindi utilizzato per avviare l'attacco e crittografare i file.

I metodi più comuni per l'installazione del software sul dispositivo di una vittima sono tramite e-mail di phishing, annunci pubblicitari malevoli su siti Web e app e programmi discutibili.

Le persone dovrebbero sempre prestare attenzione quando aprono e-mail indesiderate o visitano siti Web con cui non hanno familiarità. Non scaricare mai un'app che non è stata verificata da un negozio ufficiale e leggere le recensioni prima di installare i programmi.

Usa un programma antivirus

Un consiglio di sicurezza del computer secolare, i programmi antivirus possono fermare il riscatto

Usa un programma antivirus

Un consiglio di sicurezza del computer secolare, i programmi antivirus possono impedire che il ransomware venga scaricato sui computer e possa trovarlo quando lo è.

La maggior parte dei programmi antivirus può eseguire la scansione dei file per vedere se potrebbero contenere ransomware prima di scaricarli. Possono bloccare installazioni segrete da annunci pubblicitari dannosi durante la navigazione sul Web e cercare malware che potrebbero essere già presenti su un computer o dispositivo.

Installa sempre gli aggiornamenti!

Per aggiornare la nostra appScanGuard, procedi nel seguente modo:

Passa il mouse sopra la freccia su nella barra delle applicazioni accanto all'orologio e fai clic su di esso per visualizzare tutte le app in esecuzione.
Trova l'iconaScanGuard e fai clic destro su di esso.
Clicca su "Controlla aggiornamenti"


Fase 1: posiziona il mouse sopra la freccia su nella barra delle applicazioni accanto all'orologio e fai clic su di esso per visualizzare tutte le app in esecuzione.

Passaggio 2: trova l'iconaScanGuard e fai clic con il pulsante destro del mouse su di essa.

Fase 3: fare clic su "Verifica aggiornamenti"

Fase 1: posiziona il mouse sopra la freccia su nella barra delle applicazioni accanto all'orologio e fai clic su di esso per visualizzare tutte le app in esecuzione.

Passaggio 2: trova l'iconaScanGuard e fai clic con il pulsante destro del mouse su di essa.

Fase 3: fare clic su "Verifica aggiornamenti"

Le aziende spesso rilasciano aggiornamenti software per correggere le vulnerabilità che possono essere sfruttate per installare ransomware. È quindi consigliabile scaricare sempre la versione più recente di un software non appena disponibile.

Non pagare mai il riscatto

Le vittime di attacchi di ransomware sono avvisate di non pagare mai la tassa in quanto incoraggia gli aggressori e potrebbero non comportare il recupero dei file. Esistono alcuni programmi che possono aiutare a decodificare i file. Oppure, se si dispone di un backup, è possibile ripristinare il dispositivo da quello.

Cosa fare se sei infetto!

Saprai immediatamente se sei infetto: verrai accolto da una schermata popup che dice "Ooops, i tuoi file importanti sono crittografati".

E per "importante", stanno parlando dei tuoi file più usati - inclusi .mp3 audio e video .mp4 e .avi; immagini .png e .jpg; e .doc e .txt documenti. Il worm si rivolge anche ai file di backup eventualmente creati, quindi non è nemmeno possibile ripristinare versioni precedenti e sicure.

Gli analisti hanno affermato che non è necessario fare clic sui pulsanti "verifica pagamento" o "decrittografia" nel messaggio popup.

Invece, se sei in grado di - scaricare e installare la patch Microsoft MS17-010, che dovrebbe funzionare sui sistemi Windows fino a Vista.

Download patch Microsoft: fare clic qui

Cronologia di attacco informatico