lunedì 18 settembre 2017

Come Difendersi Da NotPetya/ExPetr: Ransomware o Wiper?

Subito etichettato come un Ransomware, in realtà NotPetya è solo un camuffamento di un precedente Malware chiamato Petya (cioè un virus che solitamente cifra i file dei PC e chiede un riscatto per consegnare la chiave in grado di decifrarli).
Dopo poche ore dalla sua diffusione ha infettato oltre duemila organizzazioni ed aziende pubbliche e private in Francia, Spagna, Gran Bretagna, India, Germania, Danimarca, Russia, Stati Uniti, Italia ed Ucraina, da dove è partito.
NotPetya non sembra essere un Ransomware, anche se il funzionamento è quello.
Il Malware infatti, forse più accostabile alla famiglia dei Wiper, non può far fede alla richiesta di riscatto.
Il suo funzionamento intrinseco infatti rende impossibile la decifrazione da parte dell’attaccante.
La versione precedente modificava il disco effettuando cambiamenti reversibili, quella attuale creerebbe invece danni irreversibili e permanenti.
A questo si è aggiunta una analisi della multinazionale di cybersicurezza Kaspersky, secondo la quale gli attaccanti “non possono decifrare i dischi delle vittime, anche qualora il pagamento sia effettuato”. E' proprio il meccanismo alla base che rende impossibile decifrare.
La chiave di installazione personale generata sul computer della vittima, che è elemento cruciale per poter estrarre la chiave di decifrazione da parte dell’attaccante, è inservibile.
In poche parole anche se l’attaccante volesse dare le chiavi di decifrazione alle vittime, non ha quella usata per la cifratura della tabella file master (MFT), per cui tutti i dati sono persi.
Probabilmente non si tratta di un errore casuale da parte degli attaccanti.
È una scelta voluta.

Matt Suiche: "La chiave mostrata sullo schermo delle vittime è falsa. E questo è un falso Ransomware"

Ma se non è stato progettato per chiedere riscatti in modo funzionale, quale sarebbe allora lo scopo di NotPetya? Kaspersky, Suiche e altri lo definiscono come detto un Wiper, cioè un software malevolo il cui obiettivo è danneggiare e distruggere.
Un esempio di questo tipo è stato Shamoon, un malware che già nel 2012 aveva colpito la compagnia petrolifera saudita Saudi Aramco cancellandone gli hard disk.
Per alcuni, il movente non sono i soldi (allora perchè chiedere un riscatto?), secondo un report della società finlandese Fsecure invece c'è la possibilità di un errore, magari dovuto alla fretta.
Ma conferma che la decifrazione è impossibile.
E veniamo alla seconda anomalia, ovvero una delle modalità di attacco che ha adottato.
Sebbene NotPetya, come già Wannacy, utilizzi più di un codice di attacco della NSA, in particolare l’exploit Eternablue, per diffondersi via rete, non è questo l’elemento decisivo sui cui soffermarsi.
Cioè la cosa più inquietante è la capacità di questo malware di usare dei metodi di amministrazione di Windows per muoversi da un computer all’altro (il cosiddetto movimento laterale), dopo aver estratto le credenziali necessarie.
Mentre l’exploit Eternalblue sfrutta una falla in Windows che si può chiudere (basta fare gli aggiornamenti), questa è una tecnica più subdola per cui non c’è una pezza immediata e semplice.
Infine, va ricordato un dettaglio non di poco conto.
L’exploit Eternalblue, che ha potenziato sia Wannacry che NotPetya, è stato diffuso online dagli Shadow Brokers.
Che a giorni potrebbero rilasciare o rivendere nuovi exploit della NSA.


COME NON FARSI INFETTARE DA NOTPETYA
Per evitare di contrarre questo pericolosissimo Malware si può usare un piccolo accorgimento.
Il Virus, prima di installarsi, controlla la presenza del file perfc in c:\windows
Se questo file esiste vuol dire che il sistema è già stato infettato da NotPetya quindi il Malware si disattiva.
Quindi perchè non creare un file di testo vuoto come esca, per ingannare il Virus?
Apriamo una cartella da "esplora file", poi menù "visualizza" e spuntiamo "estensioni nomi file" ed "elementi nascosti".
A questo punto andiamo sul desktop e creiamo un documento di testo (blocconote o notepad), nominiamolo perfc.txt
Poi cancelliamo l'estensione .txt (affinchè rimanga come nome solo perfc) e confermiamo.
Infine tasto destro sul file appena creato ed andiamo in proprietà/attributi e spuntiamo "solo lettura".
Non ci resta che spostare il file in c:\windows
Ovviamente questo accorgimento vale solo per questa variante, se altri Malware (o versioni aggiornate di NotPetya) usano altri sistemi per scansionare i sistemi infetti, risulterà del tutto inutile.

Nessun commento:

Posta un commento