Dopo la bufera scatenata dal ransomware WannaCry, un altro massiccio attacco Ransomware sta creando da ieri sera il panico nel mondo informatico: la nuova minaccia viene chiamata “Petya” oppure “NotPetya”, poiché si pensava inizialmente fosse una variante di un attacco individuato mesi fa e denominato appunto “Petya”.
Questo nuovo attacco è simile a WannaCry, poiché condivide la stessa modalità di propagazione, sfruttando l’exploit Eternalblue che indirizza la vulnerabilità Microsoft MS17-010. In realtà, introduce un elemento di forte novità: il malware non cifra più singolarmente i files, ma cifra alcuni settori del disco fisso, in particolare la tabella MFT (Master File Table), ed installa un proprio boot loader; a questo punto genera un BSOD (Blue Screen Of Death) mandando in crash il computer. Al successivo riavvio, il bootloader effettua la cifratura dalla MFT. Anche il meccanismo di propagazione è differente, in quando effettua la scansione della sola rete locale e si attiva solo prima di bloccare il computer
Cosa fare se si è stati colpiti
Poiché l’effettiva cifratura della MFT avviene al reboot, con il caricamento del booloader, nel caso si avesse il dubbio di essere stati colpiti dal malware è importante spegnere il computer e non effettuare il riavvio. Anche a seguito del crash del sistema operativo, pur essendo il malware inoculato, la cifratura non è ancora stata eseguita. Pertanto riavviando il computer da un live CD o accedendo il disco da un altro computer, è possibile il recupero dei dati. Pertanto è fondamentale spegnere il computer e non riavviarlo.
Azioni preventive specifiche
A seguito delle scoperte di alcuni ricercatori di sicurezza, è stato scoperto un meccanismo per evitare che l’infezione si attivi: è stato scoperto infatti che prima di attivarsi il malware effettua un controllo sulla presenza di un proprio file, all’interno della directory “windows” (%WINDIR%); il file si chiama “perfc” e per evitare che il malware si attivi è sufficiente creare i files “perfc”, “perfc.dll” e “perfc.dat” ed impostare l’attributo di sola lettura per bloccare il malware. Più che un kill switch, si parla di un “vaccino”. L’operazione deve essere effettuata singolarmente su ogni host Windows, e può essere automatizzata tramite batch file o group policy.
Azioni di prevenzione generiche
Per prevenire attacchi simili valgono sempre delle azioni preventive generiche ed in particolare è consigliato:
• installare le patch di sicurezza rilasciate da Microsoft ed in generale dai produttori software
• utilizzare e mantenere aggiornato il proprio antimalware
• disabilitare il protocollo SMBv1 da tutti gli host Windows
• dove possibile, bloccare l’accesso alla porta 445 con dei personal firewall (es. Trend Micro Vulnerability Protection)
Per eventuali chiarimenti è a disposizione il NOC di Euro Informatica.
