Tornniamo a parlare di Ransomware e lo facciamo parlandovi di Petya, il nuovo virus che colpendo tuttora l’Europa, dalla Danimarca all’Ucraina passando per il Regno Unito, individuato dalla società di cybersicurezza Group-IB citata dall’agenzia di stampa russa “Tass”.
Le modalità d’attacco di Petya sono molto simili a quelle relative ad un altro virus molto potente che circolava qualche settimana fa, ci riferiamo a WannaCry. Anche in questo caso ci sarebbero delle “vittime illustri”. Si parla di aziende (come Mars e Nivea), centrali elettriche, società di telecomunicazione e persino i sistemi di monitoraggio della centrale nucleare di Chernobyl.
Petya blocca i computer crittografando il Master Boot Record (MBR) dei sistemi e chiedendo successivamente il riscatto di 300 dollari in Bitcoin, una richiesta simile a quella del ransomware Wannacry che lo scorso mese aveva infettato migliaia di computer in oltre 150 Paesi.
Costin Raiu, Director, Global Research & Analysis Team di Kaspersky Lab ha commentato:
Questo sembra essere un attacco complesso che coinvolge diversi vettori d’attacco. Possiamo confermare che un exploit modificato EternalBlue è utilizzato per la propagazione almeno all’interno delle reti aziendali.
Metodo di propagazione di Petya
La buona notizia, se cosi si può dire, è che per prendere Petya bisogna aprire una mail infetta. Almeno per questa volta, quindi, non c’è un BUG in Windows che permette a questi virus di entrare senza che l’utente se ne accorga. In questo caso è l’utente a fare il “guaio” insomma.
Si propaga, come detto, attraverso le mail, che vanno aperte perché entri in funzione. Ma anche attraverso l’aggiornamento di un software per il mondo business chiamato MeDoc molto usato in Ucraina.
Diffusione del Virus
Il virus si sta ora diffondendo al momento per lo più in Gran Bretagna, Francia e India. Un’ottantina le aziende finite nel mirino finora. Non ci sono casi segnalati in Italia, almeno nel momento in cui stiamo scrivendo quest’articolo.
Ma logicamente la mail potrebbe arrivare anche ad account italiani e quindi sicuramente non siamo da escludere come paese.
Come possiamo difenderci da Petya?
C’è un “vaccino” per difendersi da questa nuova minaccia che potrebbe ben presto sbarcare anche in italia? Un ricercatore indipendente di Cybereason avrebbe scoperto una tecnica per impedire a questo virus di penetrare in un PC dotato di Windows.
Per ‘vaccinare’ il nostro computer dall’infezione di Petya/(not)Petya”, sarebbe sufficiente creare un file chiamato ‘perfc’ (senza estensione) nella cartella ‘C:\Windows’ e renderlo accessibile in sola lettura.
Come ulteriore precauzione, alcuni analisti suggeriscono di creare accanto a ‘perfc’ anche i file ‘perfc.dll’ e ‘perfc.dat’, anche questi di sola lettura”.
Stando sempre a ciò che ha scoperto questo sviluppatore, infatti, il virus petya prima di insediarsi nel vostro PC verifica la presenza di questi file e, se presenti, non attiva la funzione di cifratura se questo file già esiste sul disco. Questa scoperta è stata successivamente confermata da altri ricercatori di sicurezza. Quindi possiamo darla anche come soluzione.
