NotPetya non è un ransomware, ma una cyber-arma a fini di sabotaggio.

NotPetya, il ransomware che negli scorsi giorni ha infettato e bloccato centinaia di computer in tutto il mondo in realtà non è un ransomware: è un disk wiper, ovvero uno strumento pensato per sabotare e distruggere i computer. 

La conferma viene da Comae Technologies e da numerosi altri ricercatori di sicurezza. Gli esperti affermano che NotPetya opera come un ransomware, ma, uno attento studio del codice sorgente rivela che gli utenti non potranno mai recuperare i file. Ma questo non ha nulla a che fare col fatto che un provider tedesco ha chiuso l'account email dell'operatore di NotPetya: infatti,

WannaCry Deja Vù: ancora epidemia ad opera di un nuovo ransomware, un misto tra Petya e WannaCry.

Ancora lo spettro di WannaCry? Dal 27 Giugno un nuovo ransomware ha iniziato a colpire duramente in un numero piuttosto ampio di stati: Regno Unito, India, Spagna, Danimarca ecc... 

Questo ransomware usa come dettagli di conttato la mail wowsmith123456@posteo.net e richiede circa 300 dollari in Bitcoin come riscatto per rimettere i file in chiaro. 

Che tipo di ransomware è?

Inizialmente si è pensato ad una vecchia conoscenza, il Ransomware Petya (del quale abbiamo già parlato qui, qui e qui) dato che questo nuovo ransomware - esattamente come Petya- sostituisce il codice MBR, il quale serve ad avviare il sistema operativo, con un codice che cripta l’MFT e mostra la richiesta di riscatto. L’MFT è un file speciale sul volume NTFS che contiene informazioni riguardo a tutti gli altri file: il loro nome, dimensione, mappatura entro i settori dell’hard disk.
I file degli utenti non vengono criptati, ma senza l’MFT, il Sistema Operativo non può conoscere

Rubare le password dell'email con una finta registrazione

E' una nuova tecnica, ribattezzata PRMitM (Password reset Man in the Middle): induce la vittima a fornire tutti i dati necessari al cambio password. E' improprio definirlo attacco in quanto, in realtà, è ben più assimilabile al concetto di truffa: PRMitM è una tecnica che non necessita di malware o software dannosi, violazione di siti internet né pagine di phishing. Tutto ciò che occorre è un sito web sotto il controllo dei cyber-criminali che preveda una procedura di registrazione, il resto è pura ingegneria sociale.

Cosa si intende per ingegneria sociale?

Si intende lo studio del comportamento di una persona o di un gruppo di persone, al fine di organizzare meccanismi volti a catturarne l'attenzione e indurre quindi le vittime a rilasciare spontaneamente informazioni sensibili. Si può fare leva sul panico, sull'ignoranza, sul senso di colpa della vittima. 

Password reset Man in the Middle

La truffa inizia con la richiesta di compilazione di un falso form di iscrizione ad un sito web sotto

Locky torna sulle scene con una ondata massiva di email di spam

Dopo mesi di silenzio, il ransomware Locky (ancora non risolvibile) torna sulle scene via massive campagne di spam distribuite tramite la botnet Necurs. Fortunatamente però, un difetto del ransomware impedisce di criptare i file sui sistemi operativi Windows più recenti: la criptazione avviene solo su Windows XP e Vista.

La nuova ondata

Il nuovo attacco è stato individuato da molti ricercatori di sicurezza. Il motivo per il quale la criptazione funziona solo su XP e Vista pare essere che gli autori di Locky hanno cercato di sostituire il codice di Jaff con quello di Locky, trascinandosi dietro però diversi errori.

Risolvibile il ransomware Jaff

Il ransomware Jaff fu individuato all'incirca a metà Maggio del 2017: la prima campagna di distribuzione fu estremamente virulenta, ma non colpì particolarmente in Italia. Ne sono state messe in diffusione varie versioni, con diverse estensioni di criptazione.

Estensioni di criptazione
V.1--> .jaff
V.2--> .wlu
V.3--> .sVn

Come si diffonde?

Jaff è stato diffuso, in tutte le sue versioni, tramite email di spam originate, per quanto riguarda la