Alfonso Maruccia

Petya/NotPetya tra vaccini e analisi

Le società di sicurezza stanno analizzando la minaccia e hanno scoperto qualcosa di interessante: il nuovo ransomware non è Petya ma gli somiglia, esiste la possibilità di "vaccinarsi" e provare a pagare il riscatto è oramai inutile

Petya/NotPetya tra vaccini e analisiRoma - Il secondo giorno della diffusione globale di Petya porta in dote notizie positive ma anche qualcuna negativa, con le security enterprise impegnate ad analizzare il codice malevolo della nuova minaccia informatica alla ricerca di falle o caratteristiche peculiari da poter sfruttare per difendere gli utenti. Le infezioni intanto continuano e l'Italia potrebbe trovarsi al centro della tempesta.

Diversamente da quanto emerso nelle prime ore, ora gli analisti sostengono che il nuovo trojan ransomware non appartiene affatto alla famiglia di Petya: il malware (ExPetr) è del tutto "originale", spiega Kaspersky in una press release inviata a Punto Informatico, anche se alcune stringe sono simili alla minaccia identificata in precedenza.

È altresì confermato l'utilizzo degli exploit di NSA per la diffusione in rete (EternalBlue e EternalRomance), mentre il numero di utenze colpite ammonta per ora a 2.000 con "vittime" registrate in Russia, Ucraina, Italia, Polonia, Regno Unito, Germania, Francia, USA e "diversi altri paesi".

Per quanto riguarda l'Italia, ESET fornisce ulteriori dati con un comunicato in cui il malware è identificato come Win32/Diskcoder.C e l'Italia viene segnalata per essere il secondo Paese più colpito dall'epidemia secondo il numero di infezioni (il 10 per cento del totale) dopo l'Ucrania.

Il ransomware NotPetya - come ora viene generalmente indicato - è in effetti progettato per criptare tutti i file del disco fisso, spiegano gli analisti di Malwarebytes, e lo fa dopo il riavvio forzato del PC ingannando l'utente con un generico messaggio di "riparazione" dell'unità C. Brutte notizie poi per chi volesse risolvere il problema pagando i 300 dollari in Bitcoin richiesti dai cyber-criminali: il servizio di posta elettronica usato dai creatori del ransomware ha chiuso il loro indirizzo email e non è più possibile inviare alcunché.


Mentre è partita la caccia al "paziente zero" da cui è partita l'infezione, infine, i ricercatori hanno individuato un possibile mezzo di "vaccinazione" capace di bloccare il propagarsi del ransomware: NotPetya/ExPetr non infetta il PC se nella cartella "Windows" del disco di sistema esiste un file chiamato "perfc", e allo scopo è disponibile un semplice script Batch pensato per creare il suddetto file. La vaccinazione è applicabile anche tramite Group Policy senza richiedere il riavvio del PC.

Alfonso Maruccia

Fonte immagini: 1, 2
Notizie collegate
65 Commenti alla Notizia Petya/NotPetya tra vaccini e analisi
Ordina
  • Il Vagggino non lo voglio, è tutto un gomblodddo!!!11!!!
    -----------------------------------------------------------
    Modificato dall' autore il 29 giugno 2017 11.12
    -----------------------------------------------------------
  • - Scritto da: Epoch
    > Il Vagggino non lo voglio, è tutto un
    > gomblodddo!!!11!!!

    Giusto, che poi diventi autisticoinventato e ti fa il culo pure la postale.
    non+autenticato
  • Beh dai, basta solo creare sti 3 files in Win ed eviti la cifratura con riscatto, che bravi sta volta..
    Fatto, tanto male non fanno.
    Grazie mille x info!
    non+autenticato
  • Oh ma voi siete tutti esperti di tutto vedo A bocca aperta

    Graaaaandi!
    non+autenticato
  • Avere le immagini delle partizioni del disco backuppate e ripristinare il sistema in una manciata di minuti è una cosa troppo complicata ?
    non+autenticato
  • - Scritto da: prova123
    > Avere le immagini delle partizioni del disco
    > backuppate e ripristinare il sistema in una
    > manciata di minuti è una cosa troppo complicata
    > ?

    rimane sempre il periodo che intercorre tra il backup e il blocco a causa del ramsonware, per alcune attivita' magari e' irrilevante ma per altre no
    non+autenticato
  • Senza contare che c'è gente che fa backup di documenti già criptati...finché non si accorge che "qualcosa non quadra"

    Per carità...Darwin in action. Ma ne può andare di mezzo anche chi non c'entra nulla.
    non+autenticato
  • - Scritto da: xx tt
    > Senza contare che c'è gente che fa backup di
    > documenti già criptati...finché non si accorge
    > che "qualcosa non
    > quadra"

    Sovrascrivendo il backup precedente!
    Perche' altrimenti non sei abbastanza coglione.

    > Per carità...Darwin in action. Ma ne può andare
    > di mezzo anche chi non c'entra
    > nulla.

    Chiunque usi winsozz ha la sua parte di colpa.
    Chi non c'entra nulla non ci va di mezzo perche' usa linux.
  • Si, e lo stesso non riesce a scaricare i file dal sito di MS causa blocco popup...
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Non usare Windows (ed avere uno storage che supporti gli snapshot)?
    Ah, tra l'altro l'ntfs supporta gli snapshot, anche se non so se questi software (non chiamiamoli ramson&c, chiamiamoli software, questo sono) cancellino anche vecchi snapshot ma...
    non+autenticato
  • Se sei amministratore brasa le shadow copy.
    Se sei amministratore parte l'infezione.
    Se non sei amministratore non brasa le shadow copy
    Se non sei amministratore non parte l'infezione

    Traine tu le conclusioni di cosa serve fare....
    non+autenticato
  • - Scritto da: Max
    > Se sei amministratore brasa le shadow copy.
    > Se sei amministratore parte l'infezione.
    > Se non sei amministratore non brasa le shadow copy
    > Se non sei amministratore non parte l'infezione
    >
    > Traine tu le conclusioni di cosa serve fare....

    Milioni di client in giro per il mondo tutti con utenze amministrative?
    Oppure sul forum di PI c'e' un coglione che crede che sia sufficiente usare un account di basso livello?
  • - Scritto da: panda rossa
    > - Scritto da: Max
    > > Se sei amministratore brasa le shadow copy.
    > > Se sei amministratore parte l'infezione.
    > > Se non sei amministratore non brasa le
    > shadow
    > copy
    > > Se non sei amministratore non parte
    > l'infezione
    > >
    > > Traine tu le conclusioni di cosa serve
    > fare....
    >
    > Milioni di client in giro per il mondo tutti con
    > utenze
    > amministrative?
    > Oppure sul forum di PI c'e' un coglione che crede
    > che sia sufficiente usare un account di basso
    > livello?

    Sicuramente ce ne è uno che oggi ha inanellato figure di palta a go go, e che giusto qualche giorno fa non riusciva a scaricare una fix di XP causa blocco popup.
    Ah di doglione, intendo...
    E te figurati che, dopo non aver capito niente del blocco popup, il detto coglione spera di capire di sicurezza...
    Rotola dal ridere Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Tanto per farti capire quanto sei incapace e farti fare l'ennesima figura di palta...
    https://securelist.com/petya-the-two-in-one-trojan.../
    Leggi, soprattutto questo:

    "If the user launches the malicious executable file Petya, Windows will show the standard UAC request for privilege escalation. If the system has been properly configured by the system administrators (i.e. UAC is enabled, and the user is not working from an administrator account), the Trojan won’t be able to run any further."

    Quindi, chi è il coglione?
    Dai, torna a cercare di scaricare la fix di XP....Rotola dal ridereRotola dal ridere
    non+autenticato
  • La butto lì:

    -io definisco nell'hd dei file esca che NON vanno usati. Tipo dei .doc.
    E ne metto parecchi sparpagliati un po' a caso
    -comunico al mio nuovo HD intelligente quali siano, dal boot
    -lui funziona normalmente però...alla prima richiesta di scrittura di uno di questi file sospende in modo autonomo le attività in scrittura per un tot di tempo su tutti i files (ad esclusione di quelli ad uso e consumo del SO) segnalando all'utonto quanto sta avvenendo con un buzzer.

    Diciamo che l'intero HD va in read-only per un'oretta, modificabile da bios.

    Se è colpa di un ransomware rimane il tempo di fare un backup dei files per poi piallare. Minimizzando le perdite e chi lo sa...magari sarà possibile capire se e quali files siano stati criptati prima di quello "esca".

    Se invece è stato l'utonto ad andare a scrivere nel file sbagliato...aspetta la sua ora e riprende a "lavorare".


    Che ne dite?
    non+autenticato
  • - Scritto da: xx tt
    > La butto lì:
    >
    > -io definisco nell'hd dei file esca che NON vanno
    > usati. Tipo dei .doc.
    >
    > E ne metto parecchi sparpagliati un po' a caso
    > -comunico al mio nuovo HD intelligente quali
    > siano, dal
    > boot
    > -lui funziona normalmente però...alla prima
    > richiesta di scrittura di uno di questi file
    > sospende in modo autonomo le attività in
    > scrittura per un tot di tempo su tutti i files
    > (ad esclusione di quelli ad uso e consumo del SO)
    > segnalando all'utonto quanto sta avvenendo con un
    > buzzer.
    >
    > Diciamo che l'intero HD va in read-only per
    > un'oretta, modificabile da
    > bios.
    >
    > Se è colpa di un ransomware rimane il tempo di
    > fare un backup dei files per poi piallare.
    > Minimizzando le perdite e chi lo sa...magari sarà
    > possibile capire se e quali files siano stati
    > criptati prima di quello
    > "esca".
    >
    > Se invece è stato l'utonto ad andare a scrivere
    > nel file sbagliato...aspetta la sua ora e
    > riprende a
    > "lavorare".
    >
    >
    > Che ne dite?

    A che livello e con quali privilegi dovrebbe girare questa procedura che passa il suo tempo a testare l'integrita' di files civetta, e bloccare la scrittura sull'intero disco al verificarsi della condizione?

    E non e' molto piu' semplice FORMATTARE winsozz e installare linux?
  • > A che livello e con quali privilegi dovrebbe
    > girare questa procedura che passa il suo tempo a
    > testare l'integrita' di files civetta, e bloccare
    > la scrittura sull'intero disco al verificarsi
    > della
    > condizione?

    a livello di HD, a prescindere dal SO. Deve essere autonomo e trasparente rispetto al SO, di cui non ci si può ovviamente più fidare in caso di malware

    > E non e' molto piu' semplice FORMATTARE winsozz e
    > installare
    > linux?

    Non per tutti...c'è chi deve lavorarci obtorto collo su winzoz.
    E soprattutto c'è chi deve aprire per forza i documenti (leggasi segretaria).

    Si tratterebbe di una sicurezza in più: prendo un HD un po' più costoso e risciho un po' di meno con utonti/segretarie/winari obbligati.
    non+autenticato
  • L'hd in oggetto deve avere un firmware che legge il filesystem dell'OS e riesce ad interagirci senza far casino, non mi risulta esista nessuna soluzione del genere.

    Se poi l'hd in oggetto è un nas GNU/Linux|*nix ed il volume è montato via nfs/samba in locale allora è un altro discorso, ma nel caso basta che questo nas/server abbia un fs con snapshot e snappi regolarmente (es. zfs)...
    non+autenticato
  • - Scritto da: xte
    > L'hd in oggetto deve avere un firmware che legge
    > il filesystem dell'OS e riesce ad interagirci
    > senza far casino, non mi risulta esista nessuna
    > soluzione del
    > genere.
    >
    > Se poi l'hd in oggetto è un nas GNU/Linux|*nix ed
    > il volume è montato via nfs/samba in locale
    > allora è un altro discorso, ma nel caso basta che
    > questo nas/server abbia un fs con snapshot e
    > snappi regolarmente (es.
    > zfs)...

    Non è la stessa cosa (e non sono certo economici), ma:

    https://www.digitalintelligence.com/forensicwriteb...

    Metti i backupimportanti sul disco al quale attacchi uno dei write blockers, e non c'è malware che tenga visto che il blocco in scrittura è hardware e non software (non si riesce a scriverci indipendentemente dall'OS o se cerchi di farlo dal BIOS).

    Io ne ho uno e posso assicurarti che funziona.
    non+autenticato
  • - Scritto da: bah
    > - Scritto da: xte
    > > L'hd in oggetto deve avere un firmware che
    > legge
    > > il filesystem dell'OS e riesce ad interagirci
    > > senza far casino, non mi risulta esista
    > nessuna
    > > soluzione del
    > > genere.
    > >
    > > Se poi l'hd in oggetto è un nas
    > GNU/Linux|*nix
    > ed
    > > il volume è montato via nfs/samba in locale
    > > allora è un altro discorso, ma nel caso
    > basta
    > che
    > > questo nas/server abbia un fs con snapshot e
    > > snappi regolarmente (es.
    > > zfs)...
    >
    > Non è la stessa cosa (e non sono certo
    > economici),
    > ma:
    >
    > https://www.digitalintelligence.com/forensicwriteb
    >
    > Metti i backupimportanti sul disco al quale
    > attacchi uno dei write blockers, e non c'è
    > malware che tenga visto che il blocco in
    > scrittura è hardware e non software (non si
    > riesce a scriverci indipendentemente dall'OS o se
    > cerchi di farlo dal
    > BIOS).
    >
    > Io ne ho uno e posso assicurarti che funziona.

    Ovviamente questo non ti salva dal malware che ti manda a remengo l'intero OS, ma almeno hai la certezza che se hai documenti importanti questi non vengono toccati (poi vabbè, non è molto diverso che farne una copia via rete su un'altra macchina o magari con un OS serio... diciamo che con questo hai la certezza che se il ransomware ti fotte tutti i dati sull'OS di sistema almeno quelli sul disco esterno sono ancora tutti integri).
    non+autenticato
  • Ma usare uno user standard anziché un administrator no? È troppo semplice?
    Petya, ma come la maggior parte dei virus/malware ha bisogno di diritti amministrativi per partire, altrimenti ciccia...
    non+autenticato
  • - Scritto da: Max
    > Ma usare uno user standard anziché un
    > administrator no? È troppo
    > semplice?
    > Petya, ma come la maggior parte dei virus/malware
    > ha bisogno di diritti amministrativi per partire,
    > altrimenti
    > ciccia...

    E su winsozz, per l'escalation di privilegi c'e' solo l'imbarazzo della scelta.
    Vulnerabilita' a go go!
  • - Scritto da: panda rossa
    > - Scritto da: Max
    > > Ma usare uno user standard anziché un
    > > administrator no? È troppo
    > > semplice?
    > > Petya, ma come la maggior parte dei
    > virus/malware
    > > ha bisogno di diritti amministrativi per
    > partire,
    > > altrimenti
    > > ciccia...
    >
    > E su winsozz, per l'escalation di privilegi c'e'
    > solo l'imbarazzo della
    > scelta.
    > Vulnerabilita' a go go!

    E hai capito ancora tutto tu eh! Rotola dal ridere
    non+autenticato
  • - Scritto da: xx tt
    > La butto lì:
    >
    > -io definisco nell'hd dei file esca che NON vanno
    > usati. Tipo dei .doc.
    >
    > E ne metto parecchi sparpagliati un po' a caso
    > -comunico al mio nuovo HD intelligente quali
    > siano, dal
    > boot
    > -lui funziona normalmente però...alla prima
    > richiesta di scrittura di uno di questi file
    > sospende in modo autonomo le attività in
    > scrittura per un tot di tempo su tutti i files
    > (ad esclusione di quelli ad uso e consumo del SO)
    > segnalando all'utonto quanto sta avvenendo con un
    > buzzer.
    >
    > Diciamo che l'intero HD va in read-only per
    > un'oretta, modificabile da
    > bios.
    >
    > Se è colpa di un ransomware rimane il tempo di
    > fare un backup dei files per poi piallare.
    > Minimizzando le perdite e chi lo sa...magari sarà
    > possibile capire se e quali files siano stati
    > criptati prima di quello
    > "esca".
    >
    > Se invece è stato l'utonto ad andare a scrivere
    > nel file sbagliato...aspetta la sua ora e
    > riprende a
    > "lavorare".
    >
    >
    > Che ne dite?

    Dico che il criptaggio è già iniziato quando viene toccato il primo file esca.

    Dico invece che i dati sensibili andrebbero salvati su un disco di SOLO INPUT (salvo la fase in cui vengono salvati, ovviamente offline).

    Erano più furbi gli storici Floppy Disk che potevano essere protetti da scritture spostando una linguetta di plastica, ma dopo di loro si è persa la furbizia, e gli avanzatissimi sistemi in uso pretendono che ogni volume sia modificabile: ma che cazzspita deve tampinare Windows su dischi in linea se nessun applicativo ci va a scrivere? (o meglio, lo so, ma saperlo mi fa solo incazzvolare).
    Qui si da del coglione gratuito a tutti, ma chi realmente tratta tutti da coglioni è la Dea del Male (M$ per chi non lo sapesse).
    .
    -----------------------------------------------------------
    Modificato dall' autore il 29 giugno 2017 00.50
    -----------------------------------------------------------
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)