Attacco ransomware Petya: come e chi è infetto; come fermarlo

Un nuovo attacco ransomware che utilizza una versione modificata della vulnerabilità EternalBlue sfruttata negli attacchi WannaCry è emerso martedì e ha già colpito oltre 2000 PC in tutto il mondo in Spagna, Francia, Ucraina, Russia e altri paesi.

L'attacco ha colpito principalmente le imprese di questi paesi, mentre è stato colpito anche un ospedale di Pittsburg, negli Stati Uniti. Le vittime dell'attacco includono Banca Centrale, Ferrovie, Ukrtelecom (Ucraina), Rosnett (Russia), WPP (Regno Unito) e DLA Piper (USA), tra gli altri.

Mentre il maggior numero di infezioni è stato riscontrato in Ucraina, il secondo più alto in Russia, seguito da Polonia, Italia e Germania. Il conto bitcoin che accetta pagamenti aveva completato più di 24 transazioni prima di essere chiuso.

Leggi anche: Gli hacker Petya Ransomware perdono l'accesso agli account e-mail; Vittime lasciate incagliate.

Sebbene l'attacco non sia mirato alle imprese in India, ha preso di mira il gigante marittimo AP Moller-Maersk e il porto di Jawaharlal Nehru è minacciato dal momento che la compagnia gestisce i terminal gateway del porto.

Come si diffonde il Petya Ransomware?

Il ransomware utilizza un exploit simile utilizzato negli attacchi ransomware su larga scala di WannaCry all'inizio di questo mese che ha preso di mira le macchine in esecuzione su versioni obsolete di Windows, con una piccola modifica.

La vulnerabilità può essere sfruttata tramite un'esecuzione di codice in modalità remota su PC con sistemi operativi Windows XP e Windows 2008.

Il ransomware infetta il PC e lo riavvia utilizzando gli strumenti di sistema. Al riavvio, crittografa la tabella MFT nelle partizioni NTFS e sovrascrive l'MBR con un caricatore personalizzato che visualizza la nota di riscatto.

Secondo Kaspersky Labs, "Per acquisire credenziali per la diffusione, il ransomware utilizza strumenti personalizzati, a la Mimikatz. Questi estraggono le credenziali dal processo lsass.exe. Dopo l'estrazione, le credenziali vengono passate agli strumenti PsExec o WMIC per la distribuzione all'interno di una rete."

Cosa succede dopo che un PC è stato infettato?

Dopo che Petya ha infettato un PC, l'utente perde l'accesso alla macchina che visualizza una schermata nera con testo rosso su di essa che recita come segue:

"Se vedi questo testo, i tuoi file non sono più accessibili perché sono stati crittografati. Forse sei impegnato a cercare un modo per recuperare i tuoi file, ma non perdere tempo. Nessuno può recuperare i tuoi file senza il nostro servizio di decodifica."

E ci sono istruzioni relative al pagamento di $ 300 in Bitcoin e un modo per inserire la chiave di decrittazione e recuperare i file.

Come stare al sicuro?

Attualmente, non esiste un modo concreto per decrittografare i file tenuti in ostaggio dal ransomware Petya poiché utilizza una solida chiave di crittografia.

Ma il sito Web di sicurezza Bleeping Computer ritiene che la creazione di un file di sola lettura chiamato "perfc" e il suo posizionamento nella cartella Windows nell'unità C possano aiutare a fermare l'attacco.

È anche importante che le persone, che ancora non lo hanno fatto, scarichino e installino immediatamente la patch Microsoft per i sistemi operativi Windows meno recenti che risolvono la vulnerabilità sfruttata da EternalBlue. Ciò contribuirà a proteggerli da un attacco di una simile varietà di malware come Petya.

Se la macchina si riavvia e viene visualizzato questo messaggio, spegnere immediatamente! Questo è il processo di crittografia. Se non si accende, i file vanno bene. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27 giugno 2017

Mentre il numero e l'entità degli attacchi ransomware aumentano ogni giorno che passa, si suggerisce che il rischio di nuove infezioni diminuisca considerevolmente dopo le prime ore dell'attacco.

Leggi anche: Ransomware Attack on the Rise: ecco come rimanere al sicuro.

E nel caso di Petya, gli analisti prevedono che il codice mostra che non si diffonderà oltre la rete. Nessuno è stato ancora in grado di capire chi è responsabile di questo attacco.

I ricercatori della sicurezza non hanno ancora trovato il modo di decifrare i sistemi infettati dal ransomware Petya e poiché anche gli hacker non possono essere contattati ora, tutti gli interessati rimarranno tali per il momento.