Ampiamente previsto dagli specialisti è arrivata la variante di WannaCry: il suo nome è Petya, ma per alcuni è WannaCry v2 o anche WannaCry v3.
Anche in questo caso si tratta di un ramsonware che cripta i file sul pc oggetto, e li rende inutilzzaibili sino a quando non si paga un riscatto.
Purtroppo le sue caratteristiche lo rendono più aggressivo del suo predecessore: questo è anche dovuto al fatto che mentre i computer che per primi sono stati infettati da WannaCry, e che successivamente hanno creato l'effetto valanga che ha interessato tutto il mondo, erano poche centinaia di unità, nel caso di Petya sembra che il ceppo iniziale sia stato depositato su milioni di computer, grazie all'hacking di un famoso sito ucraino che distribuisce anche aggiornamenti software.
Il metodo è quello già conosciuto: quando il ramsonware infetta un pc cripta tutti i file ivi contenuti, e successivamente lo stesso pc infetta tutti gli altri pc presenti nella stessa LAN.
Mentre WannaCry usava come metodo di propagazione il vecchio SMB v1, Petya usa anche WMIC,Windows Management Instrumentation Commandline.
Oss.: SMB è il protocollo che viene usato dai computer Windows per rendere file e cartelle via share di rete. Di questo protocollo ne esistono diverse versioni, e in modo silente quando due computer vogliono scambiarsi file si accordano su quale versione usare. La versione 1 del protocollo, vecchia di 30 anni, è ancora utilizzata in molti ambiti: per esempio se uno dei pc coinvolti è XP, oppure se insistono in rete vecchissime versione di Linux.
Oss.: WMIC è un pezzo di WMI Windows Management Instrumentation, che in pratica permette di interrogare un pc remoto ottenendo da questo alcune le sue caratteristiche ed eventualmente modificarne altre.
Occorre osservare che le patch di sicurezza già rilasciate da M$ per combattere Petya NON scongiurano in alcun modo il fatto di ritrovarsi i file criptati, bensì scongiurano che l'infenzione possa propagarsi agli altri PC presenti in rete.
Petya, pur ottenendo il medesimo risultato di WannaCry, cripta i file in modo totalmente differente: quando il software prende il controllo della macchina esegue un reboot della stessa e agisce su MFT Master File Table e su MBR master boot record.
A questo punto il pc è spacciato: oltre ad avere i file cripatati si bloccherà sulla schermata in figura dove Vi chiederà i soldini (circa 300 dollari).
Anche in questo caso il pagamento richiesto divrebbe avvenire tramite bitcoin, e quindi il destinatario è praticamente irrintracciabile.
Occorre osservare che ad oggi sembra che gli account legati ai destinatari dei soldini richiesti per Petya siano stati tutti disattivati: per questo motivo, oltre che per motivi morali, è perfettamente inutile pagare il riscatto richiesto.
Ad oggi purtroppo non esiste alcun metodo sicuro per riottenere indietro i propri file partendo dagli stessi criptati: l'unica soluzione, una volta subito questo attacco, è quella di eseguire il restore dei dati da un backup recente.
Difendersi da attacchi di questo genere di attacchi è possibile, rendendo minima la possibilità di subirne le conseguenze: seriamente infatti ad oggi nessuno potrà offirire l'assoluta garanzia che il Vs sistema non sia oggetto di infezione.
1) Mai e poi mai aprire allegati di mail sospette. L'attacco avviene SOLO se si apre l'allegato infetto: aprire o cancellare la relativa mail non dà alcun tipo di problema
2) Purtroppo la presenza di un buon antivirus non è garanzia assoluta di non essere oggetto di un attacco ransomware: il codice di questo tipo di virus varia continuamente, e l'antivirus può non essere in grado di rilevarlo. Chiaramente però la sua presenza aiuta in modo decisivo. Quindi per scongiurare al minimo il problema occorre dotarsi di un buon antivirus, e aggiornarlo molto frequentemente.
3) Mettere in funzione un buon proxy web e mail sulla frontiera aiuta moltissimo in questo come in altri casi. Mi permetto di osservare come una LAN aziendale debba sempre e comunque dotarsi di un sistema di questo genere delegato a controllare l'interazione della rete locale con la rete internet, non permettendo a virus e codici malevoli di intrufolarsi nella rete aziendale.
3) Eseguire frequenti backup dei sistemi. Come detto una volta infettato il sistema l'ultimo modo per riottenere i propri dati è recuperarli da un backup.
4) I backup non devono stare in un luogo facilmente accessibile: infatti eseguire i backup su una share di rete senza alcuna protezione non serve a nulla. Analogamente se si esegue il backup su un'unità USB sempre connessa al PC. Se si subisse un attacco ransomware anche i file che rappresentano il backup presenti nelle share sarebbero cripatati ! Il massimo è porre il backup in cloud.
5) Aggiornare con tempestività e precisione tutti i propri sistemi operativi.
6) Disabilitare SMBv1 nella Vs rete: trovate anche questo link in linkografia. L'accesso alle share di rete avviene tramite il protocollo SMB: le nuove versioni di questo permettono di avere maggiore sicurezza e impermeabilità non solo nei confronti di Wannacry. Devo osservare che se la Vs rete dispone di macchine Linux "datate" passare a SMB di versioni successive può introdurre problematiche inerenti l'incompatibilità di questo protocollo con vecchie versioni di SAMBA. Con recenti versioni però il problema è assolutamente trascurabile. Devo anche segnalare che analogo problema si ha con macchine XP, che sono incompatibili com SMBv2: in tal caso la condivisione file smetterebbe di funzionare. A partire da Windows Vista non c'è da riportare alcun problema.
7) Disabilitare WMI. Purtroppo devo segnalare che molti software e sistemi in uso usano WMI per le loro funzionalità, per cui questa attività potrebbe essere impossibile da mettere in campo. Il consiglio è quello di disabilitare il servizio, e se qualche sistema non funziona sapete il perchè...... e potete fare le valutazioni del caso.
8) In questo caso sembra non esista alcun kill-switch globale (vedere WannaCry): sembra che l'unico kill-switch locale sia la presenza della cartella C:\Windows\perfc. Seriamente nessuno ha la certezza che la presenza di questa cartella scongiuri dall'essere oggetto dell'attacco, comunque crearla non costa nulla (trovate le note di chi ha scoperto questo "kill-switch locale" in linkografia).
9) Come detto quando infettato il pc si riavvia, e solo in fase di reboot esegue l'attività di crypt del sistema. Quindi se il sistema esegue un reboot improvvido, tenete tutto spento e usate un LiveCD per tentare un ripristino.
Spero che queste righe Vi possano essere utili
Linkografia
Hacker Behind Massive Ransomware Outbreak Can't Get Emails from Victims Who Paid
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Kill-Switch for Petya ransomware
Petya, dead but still dancing
Starting and Stopping the WMI Service