Ramsomware NotPetya, come fermarlo!

0
645
Ramsomware NotPetya, come fermarlo!

 La diffusione del malware

Il malware diffuso con il nuovo attacco chiamato NotPetya presenta molte affinità con WannaCry. Per diventare una vittima del virus propagatosi su scala globale, bisogna però aprire una mail. Il ransomware assume il controllo del computer criptando i file e richiede un riscatto di $ 300, che va pagato in Bitcoin.

Si propaga attraverso mail che vanno aperte per farlo entrare in funzione, ma anche attraverso l’aggiornamento di un software dedicato al business di nome MeDoc molto utilizzato in Ucraina. Utilizza Eternalblue, l’exploit sviluppato dalla Nsa. Nel caso di WannaCry Eternalblue analizzava la rete in cerca di punti di accesso.

In NotPetya le barriere vengono aggirate dalla mail o via aggiornamento di MeDoc. In seguito, grazie allo script malevolo dell’Nsa, si diffonde sulla rete interna che non è ancora stata aggiornata.

Come fermare NotPetya?

Ramsomware NotPetya,come fermarloAmit Serperricercatore, dell’azienda Cybereason che si occupa di sicurezza informatica, ha scoperto che NotPetya utilizza tre file locali per diffondersi ed attaccare il computer: il metodo per impedire che si attivi consiste nel creare nella cartella C: di Windows 3 file di sola lettura “perfct”, “perfct.dll” e “perfct.dat”.

Il malware, una volta penetrato nel pc controlla se questi file esistono prima di attivarsi. Dunque se sono già stati creati esso non si attiverà. Tuttavia questo metodo non impedisce a NotPetya di penetrare nel pc ed espandersi ulteriormente nella rete interna.

Se il computer dovesse infettarsi, non bisogna assolutamente pagare il riscatto perchè l’indirizzo e-mail degli hacker è stato bloccato e dunque non c’è più il modo di ottenere la chiave per decriptare i file. E’ dunque necessario formattare il pc e recuperare i dati da un back-up precedente.

Il metodo di prevenzione migliore rimane dunque l’aggiornamento costante di sistemi operativi ed antivirus.

 

Salva

Salva