Nell’informatica “novità” è un concetto breve e questo vale anche per i virus. Ancora di più se parliamo di Ransomware. Prima Cryptowall 4.0 e poi Locky sembravano la novità del 2016 e anche se continuano mietere vittime, a distanza di qualche mese ecco Petya, una nuova variante di cryptovirus che si distingue nettamente dai suoi cugini.
Ebbene sì, perché non vedremo solamente i nostri file criptati ma prende in ostaggio l’intero PC, rendendolo inutilizzabile se non per versare il riscatto in Bitcoin.
D’altro canto almeno non dà noia alle condivisioni di rete e udite udite, se preso in tempo è possibile salvare i nostri documenti.
La tipologia di attacco è ancora una volta il mail phishing, ma con una veste nuova. Non si tratta infatti di false fatture in attesa di pagamento e nemmeno di consegne di corrieri, bensì di candidature per posti di lavoro.
Il messaggio di posta contiene un link ad una cartella Dropbox, nella quale si trova quello che dovrebbe essere il Curriculum Vitae del candidato, che troviamo sotto forma di un archivio compresso.
Questo contiene la foto di un ragazzo e un file eseguibile, in formato .exe, che dovrebbe essere il CV.
In realtà si tratta di un “dropper” a doppia fase, ovvero un software che se viene eseguito scarica il malware vero e proprio, nel nostro caso il cryptovirus Petya.
Da notare che questo attacco sfrutta esclusivamente la strategia del social engineering. L’esecuzione del dropper deve avvenire con i privilegi di amministratore ma non viene utilizzata nessuna tecnica di bypass dello user account. Per questo com’è giusto che sia, apparirà il pop-up per richiedere all’utente la conferma dell’esecuzione di tale software (dropper).
Supponendo di accettare, il danno avviene in 2 fasi distinte:
La prima fase termina qui, ed è il punto di non ritorno. Se riavviamo partirà la seconda fase e sarà troppo tardi. Vedremo tra poco cosa fare in questo frangente.
Nel caso di Petya il PC infetto è completamente inutilizzabile, l’unica cosa che si può fare è inserire la chiave di de-cifratura.
Per averla è necessario pagare il riscatto (0,9 Bitcoin ora pari a 330€) utilizzando un altro PC. Bisogna prima scaricare il browser TOR per accedere al Deep Web all’indirizzo indicato e poi acquistare la chiave, che andremo ad inserire sul PC infetto per riaverlo indietro dalla scrigno di Davy Jones.
Ma allora cosa possiamo fare per scongiurare tutto questo?
Per evitare che il malware inizi la seconda fase, quando ci appare la schermata blu, dobbiamo SPEGNERE, anche brutalmente il PC, stacchiamo la spina, togliamo la batteria e ASSOLUTAMENTE NON DOBBIAMO RIAVVIARLO.
A questo punto possiamo smontare l’hard disk e tramite un altro PC copiare tutti i nostri documenti, perché non sono ancora cifrati, dopodiché è possibile formattare e ricaricare tutto quanto.
Comporta un po’ di lavoro ma quantomeno riabbiamo i nostri dati senza arricchire nessuno.
Dobbiamo solamente sperare che chi ci eroga i servizi di assistenza sistemistica ci fatturi meno di 0,9 Bitcoin per l’attività di ripristino del PC, in effetti abbiamo visto quotazioni avvicinarsi molto.
In questo caso cosa conviene fare?
Se consideriamo l’aspetto morale la cosa giusta da fare sarebbe farci sistemare il PC senza pagare il riscatto, tuttavia, visto e considerato che la spesa di rispristino potrebbe anche essere analoga e che i tempi di attesa sarebbero sicuramente più lunghi, posso immaginare che qualcuno preferisca pagare.
Con l'occasione puoi valutare il grado di prevenzione contro i Phishing del tuo sistema antispam, scarica questa guida per conoscere tutte le funzioni e le caratteristiche che oggi non possono assolutamente mancare ad un sistema di controllo dela posta.