(Not)Petya: meno di 20.000 PC colpiti, secondo Microsoft

30 Giugno 2017 198

I ricercatori di sicurezza di Microsoft hanno condiviso su TechNet alcune considerazioni molto interessanti sull'attacco ransomware mondiale Petya (o NotPetya, volendo) che si è consumato nel corso di questa settimana. Il primo dato è piuttosto sorprendente: nonostante sia riconosciuto come un software molto raffinato e subdolo, data la sua capacità di sfruttare exploit diversi per propagarsi sui computer, ha mietuto relativamente poche vittime.

I computer infettati sembrano infatti poco sotto le 20.000 unità, il 70 per cento circa dei quali nella sola Ucraina. Cruciale è stata la scelta dei suoi sviluppatori di includere un timer di ben 60 minuti per tentare di infettare altri sistemi sulla rete prima di danneggiare il PC infetto. Tra l'altro, se in questo lasso di tempo il PC viene riavviato manualmente dall'utente, il virus diventa innocuo.

La maggior parte dei sistemi colpiti, e questo invece non stupisce, eseguivano Windows 7. È ancora la versione di Windows più diffusa - e di gran lunga, seguita da Windows 10 su cui NotPetya non ha effetto. Microsoft ha anche condiviso un diagramma che spiega il processo di attacco del virus, e di tutte le contromisure che Windows 10 è in grado di rilasciare per mitigarlo o fermarlo completamente.


In ambienti aziendali, gli amministratori di rete che devono gestire macchine obsolete possono mitigare la situazione per tentare, quantomeno, di rallentare la diffusione del worm. Tra le contromisure sono consigliate la restrizione a IP specifici per il protocollo SMB e il blocco dell'esecuzione remota attraverso PSEXEC.

Un altro aspetto che lascia perplessi i ricercatori di Microsoft è l'atteggiamento del virus rispetto alla gestione del Master Boot Record (MBR). Petya/NotPetya tenta di modificarlo e di sovrascrivere il secondo settore della partizione C: con un buffer non inizializzato, distruggendo il Volume Boot Record (VBR) della partizione C:. Il fatto è che il VBR non è usato per avviare il computer, e in generale su sistemi Windows 7 e successivi quest'azione non comporta conseguenze di sorta.

Ancora più curioso è il fatto che se viene rilevata la presenza di un antivirus Kaspersky, o se l'infezione del MBR fallisce, il virus tenta di distruggere i primi dieci settori dell'hard disk. Se rileva invece gli antivirus di Symantec non tenta di sfruttare la vulnerabilità del protocollo SMB (quella di WannaCry, per capirci).

Recuperare i dati è molto difficile, impossibile se il PC già mostra la schermata rossa con la richiesta di riscatto. La crittografia è molto tosta e senza chiave non se ne esce. Tuttavia, ci sono due casi in cui il virus, non riuscendo nel suo intento, lascia il sistema impossibilitato all'avvio ma recuperabile con sforzi limitati:

  • Se un sistema ha Secure Boot e UEFI, un riavvio potrebbe mostrare la schermata qui di seguito. In questo caso è possibile avviare il sistema da un media di installazione (chiavetta o DVD) ed eseguire l'opzione Ripristino dell'Avvio.

  • Se invece un sistema senza UEFI e ha installato un antivirus Kaspersky, l'avvio dovrebbe fallire in modo completo. In quel caso è possibile, sempre da un media di installazione pulita, lanciare la console di ripristino ed eseguire i seguenti comandi, in sequenza:
  • bootrec /fixmbr
  • bootrec /fixboot

Il sistema dovrebbe ripartire correttamente. I dati non saranno intaccati. Chiaramente una volta recuperato il computer il primo lavoro da fare è una bella pulizia profonda...

Top gamma Samsung 2015 al giusto prezzo? Samsung Galaxy S6 è in offerta oggi su a 305 euro oppure da Monclick a 459 euro.

198

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
il Gorilla con gli Occhiali

Se avesse avuto dei "sintomi" da infezione me ne sarei accorto benissimo, va tutto alla grande con una potenza straordinaria, connessione altrettanto veloce e non mi si aprono finestre e cavolate varie! Fatto scansione con Kaspersky Total Security 2017 + Windows Defender + adwcleaner e tutto pulito.

Rick Deckard®

Te lo hanno confermato gli hacker via mail?

il Gorilla con gli Occhiali

Il mio non lo è.

Rick Deckard®

Guarda, non è così.. può andarti bene come no... Tieni conto che ci sono milioni di pc che sono ignaramente infettati

il Gorilla con gli Occhiali

E si ritorna sempre al solito discorso, se sai usare internet cioè navigare su siti affidabili, scaricare solo roba legale e sicura e non fare casini vari smanettando chissà con quali software o siti, non becchi nulla neanche con Windows.

Rick Deckard®

Non certo per stabilità e sicurezza

il Gorilla con gli Occhiali

No, Windows per me rimane il miglior sistema operativo e poi viene OSX.

Rick Deckard®

Non è un loro prodotto, hanno acquistato la società perché erano invidiosi del successo del gioco multipiattaforma che funzionava solo in java

Rick Deckard®

Si questo è vero.. qualcosina sono riusciti a migliorarlo

Rick Deckard®

Come windows.. lui si blocca anche 3 volte al giorno, ma gli installo sempre un os diverso

Rick Deckard®

Se usi il computer in modo intelligente hai già eliminato Windows

il Gorilla con gli Occhiali

Ma queste cose capitano a chi vuole giocare al piccolo hackerino smanettando dove non dovrebbe oppure a chi scarica cose non proprio legali oppure ad aziende importanti.

O_Marzo

Non è il pelo nelluovo, è sicurezza informatica, perfettamente sovrappongono le ai casi sopra citati Delle cinture di sicurezza e di casa, va tutto bene finché non capita qualcosa

il Gorilla con gli Occhiali

Si va be vai a trovare il pelo nell'uovo! =')

O_Marzo

Già che utilizzi Defender usi un antivirus, è ben differente dal non usare nessun antivirus, in ogni caso la regola di scaricare solo da siti fidati vale fino ad un certo punto, capita a volte che vengano compromessi gli stessi mirror riportati sul sito, per te può essere affidabile ma se l'exe dal server è compromesso puoi affidarti solo all'antivirus

il Gorilla con gli Occhiali

Ma chissà da quanti anni che non uso nessun antivirus tranne Windows Defender che è sempre attivo e ripeto ancora che non ho mai mai avuto problemi di virus o altro perchè navigo poco e solo su siti affidabili, non scarico robaccia e uso principalmente internet per scaricare oggetti o materiali per render 3D. Tutto il resto lo faccio tramite smartphone.

O_Marzo

Sei consapevole che va tutto bene finché non succede qualcosa? Io posso guidare senza cintura per anni senza mai averne bisogno ma basta un singolo, isolato è statisticamente irrilevante incidente per rimpiangere di non aver mai indossato la cintura.

NicoRoma90

non è detto che non ti sia mai capitato, può essere benissimo che il tuo PC venga usato per eseguire attacchi verso altri PC, ma ovviamente non te ne accorgi

il Gorilla con gli Occhiali

Capisco però non credo che succeda spesso questa cosa, a me mai capitato nulla di simile.

NicoRoma90

intendo che alcuni "virus" sono silenti, non te ne accorgi che ci sono perché si camuffano come una applicazione legittima e si collegano a PC/Server inviando dati o ricevendo comandi da remoto rendendo la tua macchina uno "zombie"

il Gorilla con gli Occhiali

Non so bene cosa tu voglia dire, intendi che i virus passano anche attraverso il modem fino ad arrivare nei PC connessi? Comunque è tutto tranquillo come sempre.

il Gorilla con gli Occhiali

Esattamente.

O_Marzo

Che è un po' come dire: "lascio porte e finestre di casa aperte h24, ogni tanto faccio un controllo che non abbiano rubato nulla, alla fine se vivi in un quartiere tranquillo e non fai mai torto a nessuno non serve chiederle..."

NicoRoma90

hai controllato anche tutte le connessione TCP/IP aperte che hai? si sa mai qualcuna si colleghi a qualche mal intenzionato... di solito gli antivirus fanno fatica a beccare le backdoor che usano reverse-tcp/ip, in quanto anche applicazioni completamente legali usano questo tipo di connessioni e quindi l'antivirus non le blocca... inoltre bypassano anche il firewall visto che di default bloccano le connessioni in ingresso ma non in uscita

Georgi Mihaylov

perche non lo è?

Aster

Stanotte un altra scansione con ESET online cosi dormiamo in pace;)

Aster

Potresti controllare il modem,router se ha il firmware senza vulnerabilità o aggiornato alle patch di sicurezza visto che e la prima e una delle piu importanti difese di una rete insieme al firewall,o nel caso che usi quello del operatore controllare i DNS se sono cambiate, dubito che in ambiente casalingo ci sia un attacco mirato e specifico alla tua utenza

Aster

Se non sei pratico di iso e uab o cd bootable puoi usare eset scan online ,e un po lento se hai troppi dati ma molto efficace

Re Deckars

Comunque pare che i pc con Windows 10 siano stati infettati... Che siano 20.000 o no non lo so e a mio parere non sono nemmeno pochi

Orlaf

Aspetta... così mi fai piangere dal ridere.

Aster

Si fa la controprova con eset;)

Ikaro

No, ti prego no...
Ahahahah, poraccio

SL7Z4

Blacklist pure te... ciao

Ikaro

È? Ma che caxxo c'entra? Non trolli, però non sapere e atteggiarsi da saputello è grave lo stesso... Lasciamo perdere che sennò mi dirai pure che la ruota gira. Ciao

SL7Z4

Io non trollo.
Se lo faccio te ne accorgi.

Comunque continua pure a battere la tua. I fermi macchina per le scansioni offline costano, lo sai?

ROOT

ESET Online Scanner. Segnatelo per la prossima scansione :-)

ROOT

Chissà cosa visiti...

il Gorilla con gli Occhiali

Windows Defender lo lascio attivo ma oltre a quello non uso altro. Oggi stesso ho scaricato Kaspersky Total Security, fatta una scansione completa con 0 risultati trovati. Se lo si usa con la testa non succede nulla. =)

Ikaro

Ovviamente se non ci sono virus e te non lì fai "entrare" l'unica è sfruttare falle nel sistema ma se tieni tutto aggiornato è difficile...

Ikaro

Virgolette, conosci?
Comunque ragazzi, basta trolley, dai

takaya todoroki

lo eri già semplicemente installando le patch ed evitando di cliccare sugli exe

SL7Z4

come fai a sapere che le live di kasersky riconoscano effettivamente TUTTI i virus?

dai non entriamo in un circolo vizioso.

ROOT

Almeno quello. Perché non lo lasci attivo allora?

Girmi

OK, Microsoft dichiara che siano solo 20.000 i PC infettati da NotPetya.

Ma ha detto quanti sono quelli infettati da Windows?

Just_Me5

Non solo da virus, ma anche da altri tipi di attacchi di rete, quante possibilità ci sono che qualcuno raggiunga informazioni in un pc senza che ci sia un trojan all'interno?

Aster

Usa linux senza antivirus, scherzo

Ikaro

???

Aster

Linux;)

Ikaro

Su come essere sicuro di essere esente da virus?
In realtà no solo esperienze personali...
Il fatto è che se un virus è fatto bene può "nascondersi" a un antivirus, sia in tempo reale che, ovviamente, ad una scansione...per questo si boota Kaspersky rescue disk o una live Linux, solo così puoi essere "sicuro" di non avere virus...
Se non vuoi usare un antivirus in tempo reale ma scansionare solo ogni tot, meglio farlo con questi strumenti ;)

Just_Me5

Ciao Ikaro! Interessa a me, avresti qualche link da consigliare?

Recensione Surface Pro Core i5 e Core i7: fanless è meglio

Surface Laptop, Studio e tutta la gamma Surface alla MS House | Video

Recensione HP Spectre x360 13: il convertibile migliore

Samsung Notebook 9 Pro e gli altri SUPER LAPTOP con Windows 10