Dopo WannaCry, i malware che bloccano i PC criptando i dati e chiedendo
denaro per lo sblocco, continuano a colpire.
Questa volta l’origine di tutto
è stata l’Ucraina: il virus si è nascosto dentro un software per la fatturazione
Non c’è davvero pace per la sicurezza informatica. E come dice l’articolo: Petya: i ransomware colpiscono ancora! e ancora una volta e successo. Dopo gli attacchi di maggio con cui il ransomware WannaCry ha criptato i dati di milioni di computer e prodotto danni incalcolabili, la fine di giugno è stata segnata da un nuovo attacco ancora più terribile. All’inizio, il colpevole è stato individuato in Petya, un ransomware che avrebbe iniziato a diffondersi partendo dall’Ucraina. Dopo poche ore però, alcuni esperti hanno avanzato l’ipotesi che non si trattasse di Petya e quindi hanno chiamato NotPetya il responsabile dell’attacco. Ma a prescindere dal nome, cosa fa questo malware?
Di cosa si tratta
Petya o Not Petya che dir si voglia, questo virus non cripta i singoli file e i documenti, ma agisce direttamente sul Master File Table del disco fisso e dopo averlo crittografato, modifica il Master Boot Record, ovvero quella parte dell’hard disk che permette al computer di avviarsi. NotPetya non agisce subito, dopo essersi installato rimane qualche decina di minuti in incubazione, dopodichè forza il riavvio del computer e visualizza una richiesta di riscatto. Il proprietario, secondo quanto riporta il messaggio dei pirati, dovrebbe effettuare un versamento di 300 dollari in Bitcoin e inviare a un indirizzo di posta elettronica specificato, le prove dell’accredito, in modo che i malfattori possano mandare al computer un codice di sblocco.
Ma l’indirizzo è bloccato
A questo punto, però sorge un bel problema. Il gestore dell’indirizzo dei pirati wowsmith123456@posteo.net ha bloccato l’account. Quindi i criminali non possono ricevere le prove delle vittime che hanno deciso di pagare il riscatto. In questo modo, anche chi volesse seguire questa strada, che comunque noi sconsigliamo sempre, si troverebbe di fatto davanti a una porta chiusa. Chi è stato colpito dal virus si ritrova con il computer che non parte più e il disco crittografato. Insomma una situazione senza via di uscita.
Come si diffonde
Al momento, l’unca cosa certa riguardo a NotPetya è il fatto che usa strumenti diversi per diffondersi e colpire. In Ucraina, dove ha avuto origine l’attacco, il malware ha infettato un noto software di atturazione chiamato MeDoc. I pirati hanno violato i server dell’azienda produttrice e “travestito” il virus da aggioramento per il programma. Quando gli utenti l’hanno scaricato, credendo di aggiornare il software, il virus è finito all’interno dei computer e delle reti aziendali. Da qui, la diffusione su scala nazionale prima e globale poi. Questo però non è l’unico stratagemma messo in atto dai pirati, perchè altri computer in zone diverse sono stati colpiti da file di Excel infetti arrivati via emai come allegati. In questo caso il malware avrebbe sfruttato una vulnerabilità di Office, ma non ci sono ancora conferme a riguardo. Intanto, noi di mpero informatico continuiamo a seguire la vicenda..
Leggi anche: L’agenzia delle entrate è sul web