Quest’anno le notizie di attacchi ransomware arrivano come un bollettino di guerra: non stop. I ricercatori trovano ogni giorno nuove varietà di ransomware e scoprono modi nuovi e insoliti usati dai criminali per estorcere denaro direttamente a consumatori e imprese. E non appena gli esperti in sicurezza fanno qualche progresso, i delinquenti se ne escono con nuove strategie e tecniche di ransomware.
Di recente è stato scoperto un altro sofisticato campione di ransomware. Il malware è soprannominato Satana e potrebbe suggerire origini russe. Il trojan fa due cose: cripta i file e danneggia il Master Boot Record (MBR) di Windows e quindi blocca il processo di bootstrap dello stesso.
Abbiamo già trattato i trojan che pasticciano con il MBR: il famigerato Petya è uno di questi virus. In un certo senso, Satana si comporta in modo simile, per esempio iniettando il suo codice nel MBR. Tuttavia, mentre Petya cripta la Master File Table (MFT), Satana cripta il MBR. Per criptare i file del PC, Petya fa affidamento sull’aiuto del suo “amico” Mischa; Satana gestisce da solo le due mansioni.
#Petya #ransomware eats your hard drives – https://t.co/BSqbmRBmGf pic.twitter.com/WpvijrPlSP
— Kaspersky (@kaspersky) March 30, 2016
Per coloro che non hanno familiarità con i meccanismi interni dei computer, proveremo a fare un po’ di chiarezza. Il MBR è una parte dell’hard disk. Contiene informazioni sul file di sistema usate da differenti partizioni del disco, come la partizione in cui è archiviato il sistema operativo.
Se il MBR viene danneggiato o criptato il computer perde l’accesso a una informazione fondamentale: la partizione che contiene il sistema operativo. Se il computer non riesce a trovare il sistema operativo, non può fare il boot. I malfattori dietro i ransomware come Satana hanno approfittato di questo stato di cose e hanno potenziato il loro cryptolocker con capacità da bootlocker. Gli hacker scambiano il MBR, sostituendolo con il codice della lettera di riscatto e criptano e spostano il MBR da un’altra parte.
Il ransomware richiede circa 0,5 bitcoin (340$ approssimativamente) per decriptare il MBR e fornire il codice per decriptare i file colpiti. Una volta pagato il riscatto, dicono i creatori di Satana, verrà ripristinato l’accesso al sistema operativo e le cose torneranno come prima. Almeno, questo è quello che dicono.
Una volta dentro il sistema, Satana fa la scansione di tutte le istanze dei drive e della rete, alla ricerca dei file .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, e.asm, e comincia a criptarli. Inoltre aggiunge un indirizzo e-mail e tre trattini bassi all’inizio del nome del file (per esempio, test.jpg diventerebbe Sarah_G@ausi.com___test.jpg).
Gli indirizzi e-mail fungono da informazioni di contatto per le vittime, che si suppone scrivano all’indirizzo per ricevere le disposizioni di pagamento e quindi recuperare il codice di decriptazione. Finora i ricercatori hanno visto sei indirizzi e-mail utilizzati in questa campagna.
La buona notizia è che è possibile bypassare parzialmente il blocco: con certe abilità, il MBR può essere riparato. Gli esperti del blog The Windows Club hanno fornito istruzioni dettagliate su come riparare il MBR usando la funzione di ripristino del sistema operativo di Windows. Tuttavia, quella funzione è progettata per utenti esperti che hanno dimestichezza a lavorare con il prompt dei comandi e l’utility bootrec.exe utility; è improbabile che un utente ordinario riesca subito a svolgere questo difficile procedimento e potrebbe non sentirsi a suo agio nel tentativo.
La cattiva notizia è che anche con Windows sbloccato con successo, rimane l’altra metà del problema: i file criptati. Per questo non è ancora disponibile una cura.
A questo punto, pare che Satan sia appena agli esordi della sua carriera di ransomware: non è diffuso e i ricercatori hanno individuato dei difetti nel codice. Tuttavia, è probabile che migliori col tempo e che si evolva in una minaccia molto seria.
10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF
— Kaspersky (@kaspersky) November 30, 2015
Per adesso, il consiglio di base che diamo agli utenti è di essere sempre vigili. Le nostre semplici raccomandazioni vi aiuteranno a diminuire il rischio d’infezione e a tenervi il più possibile lontano dai guai.
- Fate regolarmente il backup dei vostri dati. Questa è la vostra polizza assicurativa. Nel caso di un attacco ransomware riuscito, potete reinstallare il sistema operativo e recuperare i vostri file dalle copie di backup.
- Non visitate siti sospetti e non aprite allegati e-mail sospetti, anche se ricevuti da una persona che conoscete. State molto attenti: si sa poco sulle tecniche di propagazione di Satana
- Assicuratevi di utilizzare una soluzione antivirus affidabile. Kaspersky Internet Security rileva Satana come Trojan-Ransom.Win32.Satan e gli impedisce di criptare file o bloccare il sistema.
- E, ovviamente, seguite le nostre news!
Tenteremo sempre di informarvi sulle minacce più recenti il più presto possibile, così il malware non vi coglierà impreparati.