Che cos’è Petya e come difendersi

Autore: DAVIDE PALMIERI

Dopo nemmeno un mese dal maxi attacco informatico di WannaCry, torna a far piangere le aziende e i noob Petya o NotPetya (NotPetya perché inizialmente si pensava che fosse una nuova versione del ransomware Petya, mentre non lo è), sfrutta una tecnica molto simile al vecchio ransomware per farsi eseguire nel PC vittima, infatti molto probabilmente gran parte dello script sarà stato copiato e minimamente modificato.

NotPetya va a colpire il Master File Table, cioè l’indice che contiene le informazioni sul posizionamento dei file sul disco fisso. Una volta crittografato l’MFT e modificato il Master Boot Record, il ransomware resta inattivo per un periodo di tempo che varia tra i 10 e i 60 minuti e poi forza il riavvio del computer che, a quel punto, visualizza la richiesta di riscatto e non può essere utilizzato a causa del disco criptato.

PetyaQuesto è il messaggio di riscatto che è apparso su migliaia di PC di multinazionali e aziende come Nivea, Mars, centrali elettriche locali e addirittura i sistemi di monitoraggio della centrale nucleare di Chernobyl. Prima di questo messaggio vi apparirà un teschio che vi inviterà a cliccare un qualsiasi pulsante della tastiera, lo definirei abbastanza originale.

Secondo ESET, l’Italia è stata la seconda nazione più colpita subito dopo l’Ucraina, ovviamente poi seguono USA, Francia e Germania.

I cracker in questione, non quelli che si mangiano, perché definirli hacker sarebbe una vergogna per l’intero movimento, chiedono in cambo 300 dollari per riavere il proprio PC con tutti i dati, ma oltre alla fiducia che si possa dare a questi individui è apparso un nuovo problema, ovvero la mail wowsmith123456@posteo.net è stata bloccata dal gestore del servizio email, quindi non sarà possibile pagare cure psichiatriche a questi soggetti.

Ma come si diffonde NotPetya?

Secondo diversi esperti di sicurezza informatica, e anche secondo me, NotPetya utilizzerebbe l’exploit della NSA che è EternalBlue, quindi adesso vi starete chiedendo se è un WannaCry 3.0? Assolutamente no, la utilizza in una maniera molto diversa e con altri obbiettivi.

In pratica NotPetya cerca di colpire i network aziendali (Per i noob tutti i PC collegati ad una stessa rete aziendale), ma come li colpisce? Dopo aver infettato un primo PC tramite un file Excel, utilizzando la vuln CVE-2017-0199, e riesce a collegarsi alla rete locale utilizzando un tool simile a Mimikatz per accedere come root user nel PC vittima.

Per difendersi dato che NotPetya controlla all’interno di C:\Windows se è presente un particolare file chiamato perfc, basta semplicemente crearlo per ingannare il ransomware in modo da fargli credere che il PC sia già stato infettato.

Per proteggerci apriamouna cartella qualsiasi, clicchiamo su visualizza – proprietà – visualizzazione e togliamo la spunta su “Nascondi le estensioni per i tipi di file conosciuti ”

In conclusione creiamo un qualsiasi file con il nome “perfc” (Vi suggerisco di creare un documento) e lo spostiamo nella cartella C:\Windows , dopo questo passaggio potrete ritornare a vivere serenamente.

In conclusione vi ricordo che basterebbe un pizzico di furbizia in più per evitare cose del genere, utilizzo purtroppo tutti i giorni diverse versioni di Windows senza utilizzare alcun antivirus e con Windows Defender disattivato, negli ultimi 6 anni non ho ami scaricato alcun ransomware, malware o spyware che sia, se volete vi invito anche ad inviarmeli accettando anche una mia risposta satirica.

Autore: DAVIDE PALMIERI

Autore dell'articolo: Luigi Marra

Avatar
Il mio nome è Luigi, nella vita sono un Ragioniere. Nel tempo libero coltivo la mia passione per la tecnologia e i motori che risale a quando ero bambino.