Petya o NonPetya, nuova epidemia di ransomware

Petya o NonPetya, nuova epidemia di ransomware

Da ieri (27 giugno) che se ne parla assiduamente su giornali, radio e TV: Petya o Non Petya
E’ un corso un’epidemia di ransomware a livello mondiale. In pochissime ore sono stati infettati centinaia, migliaia di pc e server in tutto il mondo: Ucraina, Francia, Germania, USA sono solo alcuni dei paesi maggiormente colpiti.

Petya notpetya screenshoot

I posti maggiormente colpiti sono banche, supermercati, addirittura la centrale nucleare di Chernobyl oltre che qualsiasi pc con un sistema operativo Windows. Questa la schermata che vi si presenta una volta infettati:

Questo invece un supermercato Ucraino

A supermarket in Ukraine.
The country is under cyberattack.
via @golub pic.twitter.com/jETUuCPcqn

— Maxim Eristavi (@MaximEristavi) 27 giugno 2017

Come si diffonde NotPetya?

Ti arriva un’email di spam con all’interno un documento Word infetto (sfruttano l’exploit CVE-2017-0199), una volta aperto il file parte l’infezione. La prima cosa che cerca di fare è propagarsi lateralmente, in tutti i pc della rete attraverso l’exploit EternalBlue ed in caso di insuccesso usa i comandi Windows WMIC e PSEXEC. Copia le credenziali d’accesso a Windows per accedere agli altri PC della LAN.
EternalBlue è lo stesso utilizzato in precedenza da WannaCry, creato dal NSA e già patchato.

Come recuperare i file criptati da NotPetya?

Purtroppo in questo momento non è possibile. Seppure il riscatto di appena $300, da pagare in Bitcoin, sia una cifra bassa dovresti inviare la conferma del pagamento ad un indirizzo email. L’indirizzo email è mantenuto presso un provider tedesco il quale ha già bloccato la casella email, rendendone impossibile l’accesso a chi ha diffuso l’attacco: se anche paghi non puoi riavere i tuoi file!

Non pagare il riscatto, è praticamente inutile!

E’ possibile proteggersi?

Si, è possibile. Kaspersky, BitDefender, Symantec, WebRoot e molti altri hanno già aggiornato i loro software per rilevare la minaccia. Qui un’analisi di VirusTotal dove vedere quali antivirus rilevano la minaccia.
Come per WannaCry è essenziale avere un sistema operativo aggiornato, spesso questi attacchi sfruttano falle già scoperte e risolte ma fanno affidamento sul non aggiornamento dei pc in rete.
Oltre all’uso di un buon antivirus ti consiglio di avere anche un ottimo sistema di backup, investire sulla sicurezza può farti risparmiare ore, se non giorni, dal momento dell’infezione a quando torni operativo.
Ma soprattutto controlla sempre le email prima di aprirle:
✅ Conosci il mittente?
✅ La mail sembra creata da un sistema automatico? Cioè è scritta bene o sembra assemblata?
✅ C’è un file allegato, lo aspettavi? Nel dubbio cancellala e chiama chi te l’ha inviata
⚠️ Se c’è un allegato e non lo aspettavi, non aprirlo! ? Chiama qualcuno che sappia analizzarlo prima!

Il suo nome è Petya o NotPetya?!

Inizialmente si credeva che il ransomware diffuso fosse Petya o una sua piccola variante, andando ad analizzarlo maggiormente si è scoperto non essere una variante da qui in nome NotPetya.

Cosa fare se sei stato infettato

Stacca subito il pc dalla rete e spegnilo, stacca pure la corrente dalla presa!
Controlla che altri pc sulla tua rete non siano già infetti ed in caso stacca anche loro quanto prima possibile. Non devi permettere a NotPetya di diffondersi.

Poi chiamami o chiama chi ti segue solitamente la struttura IT. E’ essenziale essere veloci quando avvengono queste infezioni.