News

Petya codifica la Master File Table

Inizialmente, i ransomware erano soliti bloccare il desktop dell’utente-vittima. In seguito, essi hanno iniziato a cifrare i file. Subito dopo, i blocker si sono lanciati all’assalto dei server web, delle unità disco condivise e delle copie di backup. Cosa ci attende, ancora, nell’immediato futuro?

Permetteteci, per il momento, di presentarvi Petya, il malware estorsore che prende di mira il Master Boot Record. Questo ransomware è stato scoperto nel corso delle analisi eseguite riguardo ad una campagna di spam a “tiratura” limitata, condotta nei confronti di funzionari degli uffici del personale di società tedesche. Esso codifica la Master File Table (MFT) del computer compromesso, per poi richiedere il pagamento di un riscatto pari a 0,9 bitcoin (circa 380 dollari USD) per la relativa chiave di decrittazione.

Secondo i ricercatori di BleepingComputer, lo spam malevolo contiene un link a Dropbox; tale collegamento ipertestuale, una volta attivato, genera il download dell’installer del programma estorsore. Una volta lanciato, Petya sostituisce l’MBR con un loader maligno, il quale provoca il riavvio di Windows, e fa sì che l’utente visualizzi, sul proprio schermo, una sorta di simulazione della procedura di controllo del disco (CHKDSK).

[youtube https://www.youtube.com/watch?v=3Ixtt8LVpTk&w=560&h=315]

“Nella fase in cui avviene il controllo CHKDSK fasullo, Petya provvede a cifrare, in background, la Master File Table del disco, – scrivono i ricercatori sul loro blog. – Una volta che la MFT è stata corrotta, o per meglio dire – in questo caso – cifrata, il computer non è più in grado di determinare né la posizione dei file, né l’esistenza degli stessi; in tal modo, i file divengono completamente inaccessibili”.

Successivamente, la vittima visualizzerà, prima dell’avvio di Windows, la richiesta relativa al pagamento del riscatto; attraverso una minacciosa schermata viene quindi comunicato, all’utente sottoposto ad attacco, che l’hard drive è stato cifrato; vengono inoltre fornite, in maniera dettagliata, le informazioni necessarie per giungere sul sito web allestito dagli attacker, collocato nella rete Tor, ed effettuare poi il pagamento in bitcoin. Al momento attuale, secondo BleepingComputer, non esiste alcun metodo o strumento per poter decodificare la Master File Table; è soltanto possibile rimuovere il blocco dello schermo (falso CHKDSK), per mezzo del comando FixMBR, o tramite il ripristino del Master Boot Record. In quest’ultimo caso l’infezione verrà eliminata, ma il prezzo da pagare sarà davvero molto alto; l’operazione, in effetti comporta la reinstallazione di Windows e la perdita dei dati.

Petya, in sostanza, altro non è se non l’ultimissimo esempio di introduzione, nell’ambito del ransomware, di una funzionalità in grado di rendere particolarmente complessa l’analisi del malware e di ostacolare in maniera considerevole le contromisure a livello di protezione IT. Poco prima della comparsa di Petya, è stato individuato un ulteriore blocker “innovatore”, PowerWare, attraverso il quale i malintenzionati hanno sperimentato un singolare metodo di infezione fileless.

Fonte: Threatpost

Petya codifica la Master File Table

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox