TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

28/03/2016 11:33:09 - CryptoMalware 2.0 ==> PETYA ransomware l'evoluzione della specie...

Italiano  Inglese


Il C.R.A.M. di TG Soft sta analizzando una nuova tipologia di CryptoMalware chiamato Petya ransomware le cui prime segnalazioni di diffusione/attacco sono state rilevate, per ora, in Germania, ma i cryptomalware, come è facilmente intuibile, non hanno confini.

CryptoMalware
CryptoMalware

INDICE


NOME FILE: Bewerbungsmappe-gepackt.exe
MD5: af2379cc4d607a45ac44d62135fb7015
DIMENSIONE: 230912 byte
CryptoMalware

Come si manifesta PETYA

Attualmente non si conosce la provenienza del campione del file inviato ai nostri laboratori, mentre la modalità di infezione, dagli attacchi di Petya in Germania, sembrerebbe avvenire con l'oramai noto invio massivo di e-mail con allegato che invitano il destinario ad aprire/attivare il file che produce come effetto l'infezione dell'MBR (Master Boot Record) e la cifratura dell'MFT (Master File Table) del disco.
La mail segnalata in Germania, è naturalmente scritta in lingua tedesca, e invita a scaricare da un cartella di Dropbox due documenti:
  • un file fotografico .jpg dal nome Bewerbungspoto.jpg
  • un file eseguibile Bewerbungsmappe-gepackt.exe
Il Centro Ricerche AntiMalware di TG Soft ha verificato che eseguendo il file Bewerbungsmappe-gepackt.exe viene visualizzata la schermata blu BSOD (Blue Screen of Death) riportata quì a fianco.

A questo punto il malware ha infettato l'MBR (Master Boot Record) del disco fisso e non ha ancora iniziato a cifrare l'MFT (Master File Table).
Si è verificato che, a questo punto, se si dovessere staccare l'Hard disk e collegarlo ad altro PC come secondario i dati sono ancora visibili/accessibili.
Petya CryptoMalware

In condizioni ordinarie, l'ignaro utente, vedendo la videata precedente, simile alla classica schermata blu BSOD (Blue Screen of Death), procederà a riavviare il PC / SERVER caricando dall'MBR infetto da Petya che visualizzerà un "chkdsk" che sembrerebbe effettuare l'operazione di "riparazione" del file system ma invece andrà a cifrare l'MFT.
Petya CryptoMalware

Terminato il "chkdsk" si riavvierà il PC automaticamente e verrà visualizzato il simbolo della morte e per continuare si dovrà premere un tasto (PRESS ANY KEY!) come si può rilevare nell'immagine a fianco. Petya CryptoMalware

La successiva schermata avverte che si è stati vittima di PETYA RANSOMWARE e di pagare il riscatto come si può vedere nella videata a destra:
  • al punto 2. sono segnalati i sito accessibili attraverso TOR Browser per prendere contatto con i ricattatori;
  • al punto 3. viene indicato il codice da inserire nella rete TOR per il pagamento del riscatto.
Petya CryptoMalware
A pagamento effettuato, la malcapitata vittima dovrà inserire la chiave per decifrare l'MFT e rimuovere l'infezione dall'MBR.

Di fatto con MBR (Master Boot Record) infetto e MFT (Master File Table) cifrato la macchina diventa completamente inaccessibile e rimarrà tale anche se si dovesse tentare di sovrascrire un nuove MBR o collegare il disco come secondario ad un altro PC per cercare di effettuarne la rimozione.

Il riscatto richiesto da PETYA Ransomware

Come si può notare dall'immagine a destra collegandosi all'indirizzo della pagina TOR-Onion indicate, dopo aver inserito un Captca, verrà visualizzato il count-down per il pagamento del riscatto. Se il riscatto non dovesse venire pagato entro 6 giorni e 11 ore, circa, la somma richiesta in prima battuta pari a circa 0,99 BitCoin sarà raddoppiata.

Gli autori di questa nuova tipologi di attacco CryptoMalware si fanno chiamare "Janus Cybercrime SolutionsTM"

Cliccando sul pulsante rosso in figura "Start the decryption process" verra visulizzata la pagina sotto riporata:
Clicca per ingrandire l'immagine
Click per ingrandire


Click per ingrandire
Nella videata a sinistra nel campo "Enter tou identifier:" i ricattatori invitano ad inserire l'Id identificativo della vittima.

Premendo il tasto "Next>>" si accederà all'immagine sottostante.

Giunti alla pagina di acquisto dei Bitcoins viene indicato il valore di riscatto richisto in Bitcoin che può essere variabile in relazione al momento in cui ci si collega alla pagina. Questo è legato alla quotazione giornaliera del Bitcoin.

Premento il tasto "Next>>" si accederà alla videata sottoriportata.
 
Clicca per ingrandire l'immagine
Click per ingrandire


Petya CryptoMalware
Click per ingrandire
Nella videata si possono notare le coordinate del conto corrente Bitcoin e l'ammontare dell'importo da versare. Nella videata specifica 0,9475 Bitcoin.


Dopo aver premuto il pulsante "Next>>" si giungerà alla videata Step 4: dove, in sintesi il pagamento effettuato è in attesa di conferma e in rari casi la conferma avviene entro le 12 ore successive.
 
Clicca per ingrandire l'immagine
Click per ingrandire

Nella videata sottostante nel sito della "Janus Cybercrime Solutions" è disponibile anche una pagina FAQ, cioè di risposte alla domande più frequenti.
Clicca per ingrandire l'immagine
Inoltre è presente anche un sistema di invio di messaggi per comunicare con la "Janus Cybercrime Solutions"
Clicca per ingrandire l'immagine

Come proteggersi da Petya

Come regola generale, non bisogna mai dimenticarsi, che dietro ogni link o ogni allegato di ogni mail può celarsi un malware.
Buona norma sarebbe evitare di cliccare su link o su allegati di e-mail che giungano da sconosciuti ma anche da persone che sembrano conosciute ma dalle quali non attendavamo ne allegati ne altro.

Per ora, per contrastare questi attacchi CryptoMalware di nuova generazione, l'unica difesa è quella di effettuare delle copie di BackUp dei propri dati su unità non collegate al computer dove sono collocati i file di uso quotidiano che si vogliono preservare con le copie di sicurezza.

Allo stato l'unica soluzione è quella di avere preservatae le copie di BackUp su unità NON direttamente collegate al computer attaccato cioè sul quale l'utente abbia più o meno coscentemente attivare il file allegato che scatena Petya ransomware.

Torna ad inizio pagina


Posso recuperare l'accesso al disco ?

Se il malware ha cirfrato l'MFT (Master File Table), per ora, non è possibile effettuare l'accesso al disco senza pagare il riscatto. Il virus/malware però è ancora in fase di analisi da parte dei ricercatori del C.R.A.M. di TG Soft.

L'operazione FixMBR può essere eseguita solamente se l'MFT non è stato ancora cifrato.

Nel caso venisse effettuato FixMBR con l'MFT cifrato Windows non si caricherà correttamente segnalando il danneggiamento del disco e inviterà all'utlizzo di un'utility tipo "chkdsk" il cui utilizzo potrebbe danneggiare ulteriormente l'MFT e rendere ancora più difficoltoso il recupero dei dati del disco anche dopo l'eventuale pagamento.

Torna ad inizio pagina

Considerazioni finali

Naturalmente invitiamo tutti a fare molta attenzione nell'aprire/eseguire gli allegati delle mail, anche se arrivano da un mittente noto o la navigazione su siti poco raccomandabili.
 
Invitiamo a controllare preventivamente l'indirizzo e-mail del mittente prima di azzardarsi ad aprire/eseguire l'allegato.


TG Soft
Relazioni Esterne

Torna ad inizio pagina


Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283