giovedì 29 giugno 2017

WannaCry Deja Vù: ancora epidemia ad opera di un nuovo ransomware, un misto tra Petya e WannaCry.


Ancora lo spettro di WannaCry? Dal 27 Giugno un nuovo ransomware ha iniziato a colpire duramente in un numero piuttosto ampio di stati: Regno Unito, India, Spagna, Danimarca ecc... 
Questo ransomware usa come dettagli di conttato la mail wowsmith123456@posteo.net e richiede circa 300 dollari in Bitcoin come riscatto per rimettere i file in chiaro. 

Che tipo di ransomware è?
Inizialmente si è pensato ad una vecchia conoscenza, il Ransomware Petya (del quale abbiamo già parlato qui, qui e qui) dato che questo nuovo ransomware - esattamente come Petya- sostituisce il codice MBR, il quale serve ad avviare il sistema operativo, con un codice che cripta l’MFT e mostra la richiesta di riscatto. L’MFT è un file speciale sul volume NTFS che contiene informazioni riguardo a tutti gli altri file: il loro nome, dimensione, mappatura entro i settori dell’hard disk.
I file degli utenti non vengono criptati, ma senza l’MFT, il Sistema Operativo non può conoscere
dove sono locati i file sul disco. In sunto, il Sistema Operativo non si avvia più. In realtà, successive analisi, hanno dimostrato che il ransomware in diffusione è una nuova versione, non il vecchio Petya.

Ispirato a WannaCry?
Secondo svariate fonti, l'autore di questo ransomware ha avuto ispirazione dall'epidemia prodotta da WannaCry. Infatti l'autore ha inserito alcune funzioni particolari, simili a quelle di WannaCry. Petya (Petna o NotPetya) sfrutta infatti lo stesso exploit di WannaCry, EternalBlue appunto, ma anche il codice EternalRomance (anch'esso tool sfuggito al controllo dell'NSA dopo il leak di qualche tempo fa ad opera di Shadow Brokers). Entrambi questi due exploit sfruttano una vulnerabilità nel protocollo SMBv1. Oltre a ciò, presenta anche la caratteristica di diffondersi come un worm: cerca cioè l'accesso ad altri computer nella stessa rete per riprodursi. Per farlo preleva semplicemente le credenziali archiviate temporaneamente nella RAM, non solo dell'Admin di rete, ma di tutti gli utenti del sistema. Se le stesse credenziali sono usate su più pc, semplicemente ottiene l'accesso e l'infezione si diffonde. 

Karhov (Ucraina): supermercato colpito da NotPetya
A differenza di WannaCry non ha nessun interruttore
WannaCry conteneva un dominio interruttore, il quale, una volta individuato, ha permesso ai ricercatori di bloccare la diffusione del ransomware. Infatti, se il ransomware riusciva a connettersi al dominio, la criptazione non avveniva. Se il tentativo di connessione falliva, il ransomware avviva la criptazione. Un ricercatore ha quindi registrato un secondo dominio e ha scoperto che al Ransomware bastava sapere che l'indirizzo era esistente e raggiungibile per arrestarsi.  Ha, in sunto, prodotto un DNS sinkhole, ovvero un server DNS che fornisce informazioni false: così invece di connettersi al dominio originario, il ransomware accedeva al dominio sotto controllo del ricercatore. Questo, risultando raggiungibile, ha reso innocuo il ransomware.

NotPetya non ha nulla di tutto questo e infatti, molte analisi puntualizzano l'estrema virulenza di questa minaccia informatica.

La richiesta di riscatto
Questa la schermata con la richiesta di riscatto


Qualche consiglio per mettervi al riparo
Tre scenari:
- se il processo di cifratura si è già concluso e compare sullo schermo il messaggio con la richiesta di riscatto, non c'è più nulla da fare, a parte sperare di avere i propri dati salvati da qualche parte o che qualche ricercatore sia in grado di approntare un tool di decriptazione.

- se invece avete appena subito l'infezione avete circa 40 minuti prima che il ransomware riavvii il sistema e inizi la criptazione del disco. Se il sistema si è appena riavviato e vedete la schermata sotto che vi indica che Windows sta controllando il disco C, SPEGNETE IMMEDIATAMENTE IL PC. Infatti, la schermata che visualizzate, è falsa e dovuta al ransomware e non a Windows.



- se non avete subito alcuna infezione, mettetevi al riparo prima che possa accadere. Scaricate ed installate la patch che Windows ha, ormai da 4 mesi, messo in distribuzione per risolvere la vulnerabilità nel protocollo SMB sfruttata da NotPetya e WannaCry. La trovate nel bollettino di sicurezza MS17-010. Per i sistemi operativi Windows XP, Windows 8 e Windows Server 2003 l'aggiornamento specifico è rintracciabile qui.

Quanto si è diffuso questo ransomware?In appena due giorni, il livello di diffusione, nonostante sia stato inferiore a quello di WannaCry, è comunque preoccupante. Sono stati colpiti una serie di supermercati a Kharkov (Ucraina), moltissimi ATM e il sistema metropolitano sempre in Ucraina, il porto di Rotterdam, il sistema informatico del big pharma Merck negli Usa, la Saint Gobain in Francia e svariate aziende in India.


ATM in Ucraina
Saint Gobain - Francia



Nessun commento:

Posta un commento