mercoledì 30 marzo 2016

Rasomware alert: Northpole e Petya!

Vi mettiamo in guardia da due tipi di ransomware di cui ci sono arrivate segnalazioni, ovvero Northpole e Petya.


Northpole, così chiamato perchè cripta i file in .northpole, non è proprio nuovo (se ne parlava già a metà del 2015), ma sembra essere di nuovo in diffusione.
Cripta sicuramente file del tipo .doc, .xls, .pdf e simili, ma può anche modificare alcune impostazioni del sistema operativo e chiede un riscatto per rimetterli in chiaro.
Ad esempio il documento di calcolo “riepilogo.xls” viene rinominato “riepilogo.xls.northpole”.
Il messaggio di richiesta del riscatto (“HOW TO DECRYPT FILES.txt”) , in inglese, si apre così:
“se stai leggendo questo file, significa che  TUTTI I TUOI FILE sono stati BLOCCATI con la più forte cifratura militare.  Tutti i tuoi dati –documenti, foto, video, backup- tutto è BLOCCATO”.

Non dà nessun sito web come riferimento: si specifica che l’unica maniera per recuperare i file è inviare una mail all’indirizzo northpole@alphamail10.com, allegando il codice personale indicato nel file e almeno un file criptato.
Non ci risultano, ad oggi, soluzioni.



L'altro è invece il nuovo ransomware Petya, il quale, diversamente da altri ransomware, cripta l’intero hard disk. Anzi, più nel dettaglio, cripta due parti specifiche dell’ Hard Disk, ovvero l’MBR e l’MFT, ovvero quelle parti necessarie all’avvio del sistema e lo indirizzano nella gestione dei file.
Si diffonde principalmente tramite una mail che richiede di scaricare da dropbox un allegato che solitamente si chiama “application folder-gepackt.exe” (ma si conoscono anche versioni in altre lingue, ad esempio in tedesco Bewerbungsmappe-gepackt.exe).
Al riavvio il PC mostrerà una schermata,  che  farà sembrare che il sistema stia operando una riparazione sul disco C,  perché vi troviamo scritto “Repairing file system on C:” 







 In questa fase NON E’ IN CORSO NESSUNA RIPARAZIONE: il ransomware sta “semplicemente” CRIPTANDO il tuo hard disk. Apparirà, a fine processo, una schermata rossa con un teschio bianco, che chiede di premere un tasto qualsiasi: apparirà quindi un messaggio che specifica che il PC  è stato criptato.


A questo punto c’è la richiesta di riscatto: si chiede di collegarsi, tramite Tor Browser (che permette la navigazione anonima), ad uno dei due siti indicati, nei quali è richiesto l’inserimento del codice personale di decriptazione.


Si aprirà una pagina a firma “Copyright © 2016 Janus Cybercrime Solutions™” dove sono indicati i vari passaggi per ottenere i bitcoin richiesti e pagare il riscatto.

Attualmente non si conoscono soluzioni.

1 commento:

  1. Over at Bonus Bitcoin you may recieve free satoshis. Up to 5,000 satoshis every 15 minutes.

    RispondiElimina