SHOP ONLINE
SUPPORTO TECNICO

Euro Informatica

  • Chi Siamo
    • Chi Siamo
    • Case Study
      • Cereal Docks – Case Study
      • Morato Pane – Case Study
    • Mission
    • La Storia
    • Company Profile
    • Certificazioni
      • Certificazioni ISO
      • Rating di legalità
      • Cyber Security Made in Europe
    • Responsabilità sociale
    • Partners
  • Aree di competenza
    • Infrastruttura
    • Servizi gestiti
    • Servizi a valore
    • Servizi cloud
    • Operation Center
    • Sicurezza
    • Cyberteam
    • Academy
  • News
    • Euronews
    • Eventi e Webinar
    • Cybernews
  • Lavora con noi
  • Sedi e contatti
  • Cyberteam
mercoledì, 30 Agosto 2017 / Pubblicato il Alert

Petya, il Malware ora cifra il disco fisso.

Dopo la bufera scatenata dal ransomware WannaCry, un altro massiccio attacco Ransomware sta creando da ieri sera il panico nel mondo informatico: la nuova minaccia viene chiamata “Petya” oppure “NotPetya”, poiché si pensava inizialmente fosse una variante di un attacco individuato mesi fa e denominato appunto “Petya”.
Questo nuovo attacco è simile a WannaCry, poiché condivide la stessa modalità di propagazione, sfruttando l’exploit Eternalblue che indirizza la vulnerabilità Microsoft MS17-010. In realtà, introduce un elemento di forte novità: il malware non cifra più singolarmente i files, ma cifra alcuni settori del disco fisso, in particolare la tabella MFT (Master File Table), ed installa un proprio boot loader; a questo punto genera un BSOD (Blue Screen Of Death) mandando in crash il computer. Al successivo riavvio, il bootloader effettua la cifratura dalla MFT. Anche il meccanismo di propagazione è differente, in quando effettua la scansione della sola rete locale e si attiva solo prima di bloccare il computer

Cosa fare se si è stati colpiti
Poiché l’effettiva cifratura della MFT avviene al reboot, con il caricamento del booloader, nel caso si avesse il dubbio di essere stati colpiti dal malware è importante spegnere il computer e non effettuare il riavvio. Anche a seguito del crash del sistema operativo, pur essendo il malware inoculato, la cifratura non è ancora stata eseguita. Pertanto riavviando il computer da un live CD o accedendo il disco da un altro computer, è possibile il recupero dei dati. Pertanto è fondamentale spegnere il computer e non riavviarlo.

Azioni preventive specifiche
A seguito delle scoperte di alcuni ricercatori di sicurezza, è stato scoperto un meccanismo per evitare che l’infezione si attivi: è stato scoperto infatti che prima di attivarsi il malware effettua un controllo sulla presenza di un proprio file, all’interno della directory “windows” (%WINDIR%); il file si chiama “perfc” e per evitare che il malware si attivi è sufficiente creare i files “perfc”, “perfc.dll” e “perfc.dat” ed impostare l’attributo di sola lettura per bloccare il malware. Più che un kill switch, si parla di un “vaccino”. L’operazione deve essere effettuata singolarmente su ogni host Windows, e può essere automatizzata tramite batch file o group policy.

Azioni di prevenzione generiche
Per prevenire attacchi simili valgono sempre delle azioni preventive generiche ed in particolare è consigliato:
•    installare le patch di sicurezza rilasciate da Microsoft ed in generale dai produttori software
•    utilizzare e mantenere aggiornato il proprio antimalware
•    disabilitare il protocollo SMBv1 da tutti gli host Windows
•    dove possibile, bloccare l’accesso alla porta 445 con dei personal firewall (es. Trend Micro Vulnerability Protection)

Per eventuali chiarimenti è a disposizione il NOC di Euro Informatica.

Articoli recenti

  • CyberSecurity e CyberFuturo 2023

    Una chiacchierata online per fare il riassunto ...
  • Un business game per imparare a gestire un’impresa sostenibile

    Euro Informatica SpA è orgogliosa di esser...
  • Euro Informatica SpA annuncia il rinnovamento del proprio portale di e-commerce

    Euro Informatica SpA annuncia il rinnovamento d...
  • Euro Informatica Silver Sponsor al doppio evento HackInBo Business e Winter Edition 2022

    Anche quest’anno Euro Informatica Sp...
  • Euro Informatica Silver Sponsor al doppio evento HackInBo Business e Winter Edition 2022

    Anche quest’anno Euro Informatica Sp...

CENTRALINO UNIFICATO:
Tel. 0444 268150 - Fax 0444 268170

E-MAIL PEC:
[email protected]

E-MAIL:
[email protected]

E-COMMERCE:
www.euroinformatica.eu

Sede principale
Sandrigo (VI)
Viale della Repubblica 63/4
vedi sulla mappa

Sede Nord Ovest - Lombardia
Concorezzo (MB)
Via F. Magellano, 6
vedi sulla mappa

Ufficio territoriale - Veneto
Verona
Via Roveggia, 122/A
vedi sulla mappa

  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY PRIVATI - PRIVACY FORNITORI - PRIVACY CANDIDATI

TORNA SU
  • Shop online
  • Contattaci
  • Supporto tecnico
  • Cyberteam