Trucchi Pokémon Go, ecco come evitare truffe e malware
27 luglio 2016
Cinquanta Sfumature di Nero il Film – Anticipazioni, trailer e curiosità
1 agosto 2016
Mostra tutti

Satana Ransomware il trojan che cripta e blocca il computer

Quest’anno le notizie di attacchi ransomware arrivano come un bollettino di guerra.

I ricercatori trovano ogni giorno nuove varietà di ransomware e scoprono modi nuovi e insoliti usati dai criminali per estorcere denaro direttamente a consumatori e imprese. E non appena gli esperti in sicurezza fanno qualche progresso, i delinquenti se ne escono con nuove strategie e tecniche di ransomware.

Di recente è stato scoperto un altro sofisticato campione di ransomware.

Il malware è soprannominato Satana e potrebbe suggerire origini russe.

Questo ransomware fa due cose: cripta i file e danneggia il Master Boot Record (MBR) di Windows e quindi blocca il processo di avvio dello stesso.

Abbiamo già visto trojan che modificano il MBR: il famigerato Petya è uno di questi virus. In un certo senso, Satana si comporta in modo simile, per esempio iniettando il suo codice nel MBR. Tuttavia, mentre Petya cripta la Master File Table (MFT), Satana cripta il MBR. Per criptare i file del PC, Petya fa affidamento sull’aiuto del suo “amico” Mischa mentre Satana gestisce da solo le due mansioni.

Per coloro che non hanno familiarità con i meccanismi interni dei computer, proveremo a fare un po’ di chiarezza:

Il MBR è una parte fondamentale dell’hard disk. Contiene informazioni sul file di sistema usate da differenti partizioni del disco, come la partizione in cui è archiviato il sistema operativo.

Se il MBR viene danneggiato o criptato il computer perde l’accesso a una informazione fondamentale: la partizione che contiene il sistema operativo. Se il computer non riesce a trovare il sistema operativo, non può fare il boot. I malfattori dietro i ransomware come Satana hanno approfittato di questo stato di cose e hanno potenziato il loro cryptolocker con capacità da bootlocker. Gli hacker scambiano il MBR, sostituendolo con il codice della lettera di riscatto e criptano e spostano il MBR da un’altra parte.

Il ransomware richiede circa 0,5 bitcoin (340$ approssimativamente) per decriptare il MBR e fornire il codice per decriptare i file colpiti.

I computer colpiti, poco dopo l’accensione, visualizzerano una schermata di riscatto simile a questa:

satan_mbr_en

Una volta pagato il riscatto, dicono i creatori di Satana, verrà ripristinato l’accesso al sistema operativo e le cose torneranno come prima. Almeno, questo è quello che dicono.

Una volta dentro il sistema, Satana fa la scansione di tutte le istanze dei drive e della rete, alla ricerca dei file .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, e.asm, e comincia a criptarli. Inoltre aggiunge un indirizzo e-mail e tre trattini bassi all’inizio del nome del file (per esempio, test.jpg diventerebbe Sarah_G@ausi.com___test.jpg).

Gli indirizzi e-mail fungono da informazioni di contatto per le vittime, che si suppone scrivano all’indirizzo per ricevere le disposizioni di pagamento e quindi recuperare il codice di decriptazione. Finora i ricercatori hanno visto sei indirizzi e-mail utilizzati in questa campagna.

La buona notizia è che è possibile bypassare parzialmente il blocco: con certe abilità, il MBR può essere riparato. Gli esperti del blog The Windows Club hanno fornito istruzioni dettagliate su come riparare il MBR usando la funzione di ripristino del sistema operativo di Windows. Tuttavia, quella funzione è progettata per utenti esperti che hanno dimestichezza a lavorare con il prompt dei comandi e l’utility bootrec.exe utility; è improbabile che un utente ordinario riesca subito a svolgere questo difficile procedimento e potrebbe non sentirsi a suo agio nel tentativo.

La cattiva notizia è che anche con Windows sbloccato con successo, rimane l’altra metà del problema: i file criptati. Per questo non è ancora disponibile una cura.

A questo punto, pare che Satan sia appena agli esordi della sua carriera di ransomware: non è diffuso e i ricercatori hanno individuato dei difetti nel codice. Tuttavia, è probabile che migliori col tempo e che si evolva in una minaccia molto seria.

Per adesso, il consiglio di base che diamo agli utenti è di essere sempre vigili. Le nostre semplici raccomandazioni vi aiuteranno a diminuire il rischio d’infezione e a tenervi il più possibile lontano dai guai:

  1. Fate regolarmente il backup dei vostri dati. Questa è la vostra polizza assicurativa. Nel caso di un attacco ransomware riuscito, potete reinstallare il sistema operativo e recuperare i vostri file dalle copie di backup.
  2. Non visitate siti sospetti e non aprite allegati e-mail sospetti, anche se ricevuti da una persona che conoscete. State molto attenti: si sa poco sulle tecniche di propagazione di Satana
  3. Assicuratevi di utilizzare una soluzione antivirus affidabile.

 

Credits

Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer | IT Cybersecurity Senior Manager
Rocco Balzamà

@roccobalzama

Rocco Balzamà

Ti potrebbero interessare

16 ottobre 2018

Come compremettere il tuo account di WhatsApp rispondendo ad una videochiamata

Continua
13 ottobre 2018

Cyber Security Guidelines – Linee guida sulla sicurezza informatica per gli studi legali

Continua
11 ottobre 2018

WordPress security – Come creare un registro delle attività per i siti usando WP Security Audit Log

Continua
10 ottobre 2018

Inviare e condividere file criptati e protetti gratuitamente con Firefox send

Continua
9 ottobre 2018

Come migliorare la sicurezza della propria rete domestica

Continua
8 ottobre 2018

Facebook Data Breach – Nel dark web in vendita le credenziali

Continua
5 ottobre 2018

LoJax, il primo rootkit UEFI che infetta il computer

Continua
29 settembre 2018

Come proteggersi da Virus, Malware, Trojan e codice malevolo

Continua
28 settembre 2018

Analisi di una Botnet – Come la Botne Torii attacca i dispositivi IoT

Continua
25 settembre 2018

GDPR & Drone – Come rispettare la privacy se si usa un DRONE

Continua
24 settembre 2018

Instagram Shopping – Come vendere e fare acquisti su Instagram

Continua
23 settembre 2018

Navigare anonimi in internet: Tor – VPN e Proxy a confronto

Continua
22 settembre 2018

Sphere Browser Anonymous – Come navigare anonimi su internet gratuitamente

Continua
20 settembre 2018

I rischi per la sicurezza e la privacy dei dispositivi mobili

Continua
17 settembre 2018

FatturaPA – Fatturazione Elettronica verso la Pubblica Amministrazione

Continua
11 settembre 2018

Alla scoperta dei data center più innovativi d’Europa

Continua
4 settembre 2018

Che cos’è una violazione dei dati personali secondo le direttive del GDPR

Continua
22 agosto 2018

Come usare Gmail in modalità riservata – Confidential Mode

Continua
20 agosto 2018

Glossario dei termini e definizioni di sicurezza informatica

Continua
3 agosto 2018

La protezione dei dati e la tecnologia RFID

Continua
20 luglio 2018

Flawed Ammyy RAT e Malspam Excel-based Internet Query (.iqy) file 

Continua
20 luglio 2018

Come educare i ragazzi a gestire e tutelare la privacy online

Continua
10 luglio 2018

Dark Web Market Price Index – Quanto vale la nostra identità digitale nel Dark Web

Continua
29 giugno 2018

Come prevenire ed affrontare i furti di identità

Continua
22 giugno 2018

Body cam sui treni per la raccolta e trasmissione di immagini riprese a bordo in tempo reale 

Continua
0
×
👩‍🏫 Benvenuto!!!
Come possiamo aiutarti....