Tecnologia

Ransomware, trovato il vaccino che rende NotPetya inoffensivo. Ecco…

sicurezza

Ransomware, trovato il vaccino che rende NotPetya inoffensivo. Ecco come proteggersi

Del nuovo ransomware che nelle ultime ore ha messo in ginocchio migliaia di computer fra Ucraina, Russia e altri paesi UE (tra cui l'Italia) si sa ancora poco. Anche il vero nome del malware è diventato un caso (in principio era Petya, poi NotPetya / SortaPetya / Petna, a causa delle diverse estrazioni del codice). Quello che si sa per certo è che la nuova minaccia ha molte cose in comune con WannaCry, il ransomware che qualche settimana fa ha colpito circa 200mila personal computer in tutto il mondo. Come per WannaCry c'è una richiesta di riscatto in Bitcoin, c'è l'utilizzo dell'exploit EternalBlue (quello trafugato dagli storage della NSA), e c'è il sistema operativo Windows come vittima designata.
Intanto, ricercatori ed esperti di mezzo mondo sono al lavoro per trovare una soluzione. E un primo importante passo in avanti arriva da Cybereason, e più precisamente dal ricercatore Amit Serper che ha trovato un modo per rendere i computer immuni a NotPetya. Una sorta di vaccino al nuovo ransomware.
Serper ha analizzato il processo con il quale NotPetya infetta un personal computer, individuando un'operazione abbastanza semplice per renderlo inoffensivo. Operazione poi confermata da PT Security, TrustedSec e Emsisoft. In sostanza, il ricercatore dell'azienda con sede in Massachusetts, ha scoperto che NotPetya si aggancia ad un file locale per diffondersi all'interno della macchina. E che creando un file di sola lettura dal nome “perfc” nella cartella C:Windows il ransomware non ha più possibilità di diffondersi (qui una guida dettagliata https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/).
Si tratta di un vaccino, cioè di un'operazione utile per chi non è ancora stato infettato. Per i computer già infettati, invece, al momento non è stata trovata alcuna soluzione. E anche pagare il riscatto richiesto (circa 300dollari in bitcoin) non sembra una strada percorribile. Non solo perché trattandosi di un cyberattacco non vi è certezza che dietro a un riscatto ci sia veramente il rilascio della macchina, ma anche perché le autorità hanno chiuso l'account email col quale attraverso il quale i cybercriminali pretendevano il pagamento.
Il vaccino individuato da Serper è un'ottima soluzione per chi teme possa essere infettato ma aveva il computer spento. Del resto, la percentuale di macchine non infettate semplicemente perché offline potrebbe essere elevata. Il rischio, in questo caso, è quello di infettarle al primo riavvio. E allora è necessario seguire alcuni passaggi chiave, semplici ed efficaci: prima di riaccendere in Pc assicurarsi che non sia sconnesso da Internet (disconnettere il cavo di Rete o disabilitare il WiFi); verificare che il riavvio avvenga normalmente; una volta che il Pc è acceso, è possibile eseguire la “vaccinazione” e solo successivamente collegarsi a Internet; col Pc connesso a Internet (e con tutte le app chiuse) aggiornare manualmente l'antivirus a versioni successive al 27 giugno e il sistema operativo all'ultima versione.
Come difendersi
Ma come ci si difende da un malware come NotPetya? Innanzitutto è basilare tenere il sistema operativo (in questo caso Windows) sempre aggiornato. Ma anche fare più copie dei file che si reputano importanti e conservarle su hard disk esterni o memorie USB, è una buona abitudine. Così come utilizzare servizi di cloud computing che consentano l'archiviazione su server sicuri, on line, dei file che non si vogliono perdere.
Non pagare il riscatto
Come detto, NotPetya appartiene alla categoria dei ransomware, famiglia di malware che bloccano i personal computer e chiedono un riscatto (solitamente in bitcoin) per renderli di nuovo utilizzabili. Nonostante in molti casi la strada del riscatto possa sembrare la più immediata (soprattutto nei casi di attacchi contro aziende che hanno necessità di sblocchi immediati per non fermare un ciclo produttivo), è anche quella meno consigliabile. Un attacco con ransomware ha origine ignota. È quasi impossibile sapere chi c'è dall'altra parte del tavolo e capire se sta barando. Le statistiche raccontano che molto spesso, nonostante il riscatto pagato, il computer rimane inutilizzabile. La beffa, oltre al danno.

© Riproduzione riservata