mercoledì 30 marzo 2016

Rasomware alert: Northpole e Petya!

Vi mettiamo in guardia da due tipi di ransomware di cui ci sono arrivate segnalazioni, ovvero Northpole e Petya.

Northpole, 
così chiamato perchè cripta i file in .northpole, non è proprio nuovo (se ne parlava già a metà del 2015), ma sembra essere di nuovo in diffusione. Cripta sicuramente file del tipo .doc, .xls, .pdf e simili, ma può anche modificare alcune impostazioni del sistema operativo e chiede un riscatto per rimetterli in chiaro. Ad esempio il documento di calcolo “riepilogo.xls” viene rinominato “riepilogo.xls.northpole”.

Il messaggio di richiesta del riscatto “HOW TO DECRYPT FILES.txt”, in inglese, si apre così “se stai leggendo questo file, significa che  TUTTI I TUOI FILE sono stati BLOCCATI con la più forte cifratura militare.  Tutti i tuoi dati –documenti, foto, video, backup- tutto è BLOCCATO”.



Non dà nessun sito web come riferimento: si specifica che l’unica maniera per recuperare i file è inviare una mail all’indirizzo northpole@alphamail10.com, allegando il codice personale indicato nel file e almeno un file criptato. Non ci risultano, ad oggi, soluzioni.

L'altro è invece il nuovo ransomware Petya,il quale, diversamente da altri ransomware, cripta l’intero hard disk. Anzi, più nel dettaglio, cripta due parti specifiche dell’ Hard Disk, ovvero l’MBR e l’MFT, ovvero quelle parti necessarie all’avvio del sistema e lo indirizzano nella gestione dei file. Si diffonde principalmente tramite una mail che richiede di scaricare da dropbox un allegato che solitamente si chiama “application folder-gepackt.exe” (ma si conoscono anche versioni in altre lingue, ad esempio in tedesco Bewerbungsmappe-gepackt.exe). Al riavvio il PC mostrerà una schermata,  che  farà sembrare che il sistema stia operando una riparazione sul disco C, perché vi troviamo scritto “Repairing file system on C:”






In questa fase non è in corso alcuna riparazione: il ransomware sta semplicemente” CRIPTANDO il tuo hard disk. Apparirà, a fine processo, una schermata rossa con un teschio bianco, che chiede di premere un tasto qualsiasi: apparirà quindi un messaggio che specifica che il PC  è stato criptato.
A questo punto c’è la richiesta di riscatto: si chiede di collegarsi, tramite Tor Browser (che permette la navigazione anonima), ad uno dei due siti indicati, nei quali è richiesto l’inserimento del codice personale di decriptazione.


Si aprirà una pagina a firma “Copyright © 2016 Janus Cybercrime Solutions™” dove sono indicati i vari passaggi per ottenere i bitcoin richiesti e pagare il riscatto.

Questo ransomware è risolvibile: leggi qui.

Nessun commento:

Posta un commento