Satana Ransomware il trojan che cripta e blocca il computer
Quest’anno le notizie di attacchi ransomware arrivano come un bollettino di guerra.
I ricercatori trovano ogni giorno nuove varietà di ransomware e scoprono modi nuovi e insoliti usati dai criminali per estorcere denaro direttamente a consumatori e imprese. E non appena gli esperti in sicurezza fanno qualche progresso, i delinquenti se ne escono con nuove strategie e tecniche di ransomware.
Di recente è stato scoperto un altro sofisticato campione di ransomware.
Il malware è soprannominato Satana e potrebbe suggerire origini russe.
Questo ransomware fa due cose: cripta i file e danneggia il Master Boot Record (MBR) di Windows e quindi blocca il processo di avvio dello stesso.
Abbiamo già visto trojan che modificano il MBR: il famigerato Petya è uno di questi virus. In un certo senso, Satana si comporta in modo simile, per esempio iniettando il suo codice nel MBR. Tuttavia, mentre Petya cripta la Master File Table (MFT), Satana cripta il MBR. Per criptare i file del PC, Petya fa affidamento sull’aiuto del suo “amico” Mischa mentre Satana gestisce da solo le due mansioni.
Per coloro che non hanno familiarità con i meccanismi interni dei computer, proveremo a fare un po’ di chiarezza:
Il MBR è una parte fondamentale dell’hard disk. Contiene informazioni sul file di sistema usate da differenti partizioni del disco, come la partizione in cui è archiviato il sistema operativo.
Se il MBR viene danneggiato o criptato il computer perde l’accesso a una informazione fondamentale: la partizione che contiene il sistema operativo. Se il computer non riesce a trovare il sistema operativo, non può fare il boot. I malfattori dietro i ransomware come Satana hanno approfittato di questo stato di cose e hanno potenziato il loro cryptolocker con capacità da bootlocker. Gli hacker scambiano il MBR, sostituendolo con il codice della lettera di riscatto e criptano e spostano il MBR da un’altra parte.
Il ransomware richiede circa 0,5 bitcoin (340$ approssimativamente) per decriptare il MBR e fornire il codice per decriptare i file colpiti.
I computer colpiti, poco dopo l’accensione, visualizzerano una schermata di riscatto simile a questa:
Una volta pagato il riscatto, dicono i creatori di Satana, verrà ripristinato l’accesso al sistema operativo e le cose torneranno come prima. Almeno, questo è quello che dicono.
Una volta dentro il sistema, Satana fa la scansione di tutte le istanze dei drive e della rete, alla ricerca dei file .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, e.asm, e comincia a criptarli. Inoltre aggiunge un indirizzo e-mail e tre trattini bassi all’inizio del nome del file (per esempio, test.jpg diventerebbe Sarah_G@ausi.com___test.jpg).
Gli indirizzi e-mail fungono da informazioni di contatto per le vittime, che si suppone scrivano all’indirizzo per ricevere le disposizioni di pagamento e quindi recuperare il codice di decriptazione. Finora i ricercatori hanno visto sei indirizzi e-mail utilizzati in questa campagna.
La buona notizia è che è possibile bypassare parzialmente il blocco: con certe abilità, il MBR può essere riparato. Gli esperti del blog The Windows Club hanno fornito istruzioni dettagliate su come riparare il MBR usando la funzione di ripristino del sistema operativo di Windows. Tuttavia, quella funzione è progettata per utenti esperti che hanno dimestichezza a lavorare con il prompt dei comandi e l’utility bootrec.exe utility; è improbabile che un utente ordinario riesca subito a svolgere questo difficile procedimento e potrebbe non sentirsi a suo agio nel tentativo.
La cattiva notizia è che anche con Windows sbloccato con successo, rimane l’altra metà del problema: i file criptati. Per questo non è ancora disponibile una cura.
A questo punto, pare che Satan sia appena agli esordi della sua carriera di ransomware: non è diffuso e i ricercatori hanno individuato dei difetti nel codice. Tuttavia, è probabile che migliori col tempo e che si evolva in una minaccia molto seria.
Per adesso, il consiglio di base che diamo agli utenti è di essere sempre vigili. Le nostre semplici raccomandazioni vi aiuteranno a diminuire il rischio d’infezione e a tenervi il più possibile lontano dai guai:
Fate regolarmente il backup dei vostri dati. Questa è la vostra polizza assicurativa. Nel caso di un attacco ransomware riuscito, potete reinstallare il sistema operativo e recuperare i vostri file dalle copie di backup.
Non visitate siti sospetti e non aprite allegati e-mail sospetti, anche se ricevuti da una persona che conoscete. State molto attenti: si sa poco sulle tecniche di propagazione di Satana
Assicuratevi di utilizzare una soluzione antivirus affidabile.
Questo sito Web utilizza i cookie in modo da poterti offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.
Puoi modificare le tue preferenze in qualsiasi momento tramite il pannello delle impostazioni.
Cookie strettamente necessari
I cookie strettamente necessari rimangono essere sempre attivati per poter salvare le tue preferenze (come ad esempio i carrelli) per fornire funzionalità ed erogare servizi di sicurezza e qualità.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
Cookie di terze parti
Questo sito utilizza Google Analytics e Facebook Pixel per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari. Mantenere abilitato questo cookie ci aiuta a migliorare il nostro sito web per fornire funzionalità ed erogare servizi di sicurezza e qualità, fornire, monitorare e gestire i servizi, proteggerti da spam, attività fraudolente e illeciti misurando il coinvolgimento e le statistiche.
Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!
Cookie & Privacy Policy
Consulta la nostra Policy sulla Privacy e sui Cookie qui