I trojan di tipo ransomware rappresentano una delle minacce informatiche più diffuse e pericolose degli ultimi anni , e nel tentativo di spuntare le unghie ai cyber-criminali Microsoft sta pensando a una nuova funzionalità da integrare nella prossima versione di Windows 10 . Un sistema che in teoria dovrebbe bloccare l’effetto nefasto dell’infezione almeno sui dati che stanno più cari agli utenti.
La nuova funzionalità si chiama infatti “Accesso controllato alle cartelle” ( Controlled folder access ), è già stata implementata in una recente build dell’OS distribuita sul canale Insider (Preview Build 16232) ed è pensata per inibire l’accesso non autorizzato ai file presenti nelle cartelle selezionate.
Il solito Windows Defender si incaricherà di gestire la nuova opzione di sicurezza, monitorando l’accesso a particolari cartelle del file system (in aggiunta a quelle specificate dall’utente) da parte delle applicazioni installate sul sistema. I programmi non presenti nella whitelist di Defender – o magari quelle considerate “poco amichevoli” dalle policy Microsoft – verranno bloccati prima di far danni sui file, e all’utente verrà comunicato l’avvenuto blocco con un messaggio nel centro notifiche di Windows 10.
Il “casus belli” della presenza di Controlled folder access non viene espressamente indicato nella proliferazione dei ransomware, ma è indubbio che una protezione del genere potrebbe funzionare da ultimo argine contro la compromissione di dati importanti una volta che l’infezione sia già penetrata nel sistema. L’arrivo della nuova opzione è previsto in tempo per l’update Fall Creators Update (o “Redstone 3”) di Windows 10, questo autunno.
In attesa di verificare l’efficacia dei nuovi strumenti di sicurezza ideati da Microsoft, il mercato informatico deve fare i conti con la proliferazione e le conseguenze di ransomware già attivi sui PC di mezzo mondo. Si parla, ovviamente, ancora di Petya/NotPetya, il codice malevolo che ha scatenato una nuova epidemia di panico candidandosi come un altro WannaCry dagli effetti ancora più distruttivi.
In effetti NotPetya è un malware con payload distruttivo più che un ransomware propriamente detto, avvisano in coro gli analisti di sicurezza , perché le routine pensate per la codifica e la decodifica dei file sembrano mal-programmate di proposito mentre il terzo componente del trojan, quello per la propagazione tramite gli exploit di NSA, appare come l’unica porzione di codice davvero curata.
Gli autori di NotPetya avrebbero insomma progettato la loro creazione in modo da fare più danni possibile e nel frattempo ingenerare confusione con la scusa del ransomware. Il risultato è stato sicuramente raggiunto, e lo stesso JANUS, l’autore del Petya originale – evidentemente un hacker black hat – si è offerto di aiutare le vittime nel loro tentativo di recuperare i dati resi inaccessibili.
wère back havin a look in “notpetya” maybe it’s crackable with our privkey #petya @hasherezade sadly missed;)
– JANUS (@JanusSecretary) 28 giugno 2017
Perché tanta virulenza e volontà distruttiva? Il “mistero” di NotPetya dev’essere ancora svelato nella sua totalità , ma una cosa già appare certa: il nuovo ransomware è il terzo di una serie di attacchi similari scatenati contro il mercato interno dell’Ucraina , e pochi giorni dopo NotPetya è già la volta di un quarto attacco cripta-file simile – almeno esteticamente – a WannaCry.
Alfonso Maruccia