Emergono nuovi dettagli sul nuovo attacco ransomware di ieri sera. Contrariamente a quanto comunicato da alcune software house, il malware non è una variante di Petya, ma un nuovo ransomware mai rilevato prima. Il nome scelto è quindi NotPetya o Petna. In base ai dati raccolti dai Kaspersky Labs sono state colpite circa 2.000 aziende in Ucraina, Russia, Regno Unito, Germania, Francia, Polonia, Stati Uniti e Italia. Gli esperti di Bleeping Computer hanno pubblicato un possibile “vaccino”, ma la soluzione migliore rimane sempre la prevenzione.
Molti ricercatori di sicurezza ritengono che l’origine dell’infezione sia stato M.E.Doc, un software di contabilità usato in Ucraina. I cybercriminali sarebbero entrati nei server dell’azienda e avrebbero modificato il meccanismo di update. Quando gli utenti effettuano l’aggiornamento, Petna si installa sul computer e si propaga attraverso la rete locale. Altri esperti affermano che il ransomware è stato distribuito tramite email di spam. In ogni caso, il malware è più complesso di WannaCry e usa molteplici tecniche per infettare il maggior numero di computer.
Oltre ad una versione modificata dell’exploit EternalBlue, Petna sfrutta un altro exploit sviluppato dalla NSA, noto come EternalRomance. Per entrambi è disponibile la patch MS17-010 rilasciata da Microsoft per tutte le versioni di Windows. Il ransomware usa inoltre un tool per recuperare le credenziali di accesso alla rete locale e sfrutta i tool PsExec e WMIC per accedere agli altri computer sulla stessa rete. Il malware attende quindi tra 10 e 60 minuti prima di effettuare il riavvio del PC, dopo il quale inizia a cifrare la MFT (Master File Table) della partizione NTFS e sovrascrive il MBR (Master Boot Record) con un loader modificato. Per tutti i file viene usata una chiave AES a 128 bit, a sua volta cifrata da un chiave pubblica RSA a 2048 bit. Viene quindi mostrato un messaggio contenente la richiesta di pagamento (300 dollari in Bitcoin).
L’autore del ransomware chiede alle vittime di inviare il numero del wallet ad un indirizzo email per confermare la transazione. Purtroppo, il provider tedesco (Posteo) ha disattivato l’account, per cui la chiave di sblocco non verrà inviata e i file rimarranno inaccessibili per sempre. Il processo di cifratura viene mascherato come un’operazione CHKDSK. Se l’utente spegne il computer quando vede questa schermata, il malware non causerà nessun danno.
Per bloccare l’infezione è possibile creare un file perfc con proprietà di sola lettura, seguendo questa guida. Ovviamente, la soluzione migliore è la prevenzione: installare tutte le patch di Windows, utilizzare un software anti-ransomware, non aprire nessun allegato di posta ed effettuare frequenti backup dei dati da conservare offline.