Che cosa sono i ransomware Petya e NotPetya?

In che modo il virus Petya si diffonde e infetta i dispositivi?

Petya sfrutta la vulnerabilità CVE-2017-0144 nell'implementazione del protocollo Server Message Block (SMB) di Microsoft. Dopo aver sfruttato la vulnerabilità, questo attacco crittografa il record di avvio principale, tra gli altri file. Invia un messaggio all'utente per eseguire un riavvio del sistema, dopodiché il sistema diventa inaccessibile. Questo rende il sistema operativo incapace di trovare i file e non c'è modo di decrittografare i file, il che fa di Petya un programma che cancella i dati piuttosto che un ransomware, come si credeva inizialmente.

La nuova variante ha ulteriormente aumentato le sue funzionalità aggiungendo un meccanismo di propagazione simile a quello che abbiamo visto con WannaCry nel maggio 2017. Una serie di patch critiche è stata rilasciata da Microsoft il 14 marzo per eliminare la vulnerabilità sottostante nelle versioni Windows, ma molte organizzazioni potrebbero non avere ancora applicato queste correzioni.

Come posso proteggermi da Petya?

Il modo migliore per proteggersi da Petya è adottare misure proattive. Si dice che il virus Petya si diffonda tramite email di phishing o di spam, quindi assicurati di controllare il contenuto di un'email affinché sia autentico. Passa il mouse sopra un collegamento per vedere se porta a un URL affidabile. Oppure, se non sei sicuro del contenuto o della fonte di un'email, esegui una rapida ricerca online e cerca altre istanze di quella campagna e cosa potrebbero dirti sulla legittimità dell'email. Dovresti anche eseguire un backup completo del tuo dispositivo. Se una macchina viene infettata dal virus Petya, i dati potrebbero diventare irrecuperabili. Puoi eseguire il backup dei dati su un disco rigido esterno, sul cloud o su un'altra soluzione di archiviazione di terze parti. Ciò che conta è applicare costantemente gli aggiornamenti del sistema e delle applicazioni non appena diventano disponibili, perché Petya e attacchi simili sfruttano le vulnerabilità senza patch per infiltrarsi nei sistemi.

Qual è la differenza tra Petya e NotPetya?

Il malware Petya è in circolazione da qualche tempo e l’attacco del giugno 2017 ha rilasciato una nuova variante. Questa variante viene chiamata da alcuni NotPetya a causa dei cambiamenti nel comportamento del malware. Petya e NotPetya utilizzano chiavi di crittografia diverse e hanno stili unici di riavvio, schermate e messaggi. Tuttavia, entrambi sono ugualmente distruttivi.

La storia e l'evoluzione del ransomware Petya

Petya è stato scoperto nel marzo 2016 da ricercatori di sicurezza, i quali hanno notato che, sebbene questo malware causasse meno infezioni rispetto ad altri ceppi attivi all’epoca, il virus era comunque unico nel suo funzionamento. Ciò ha messo in allerta molti operatori del settore, spingendoli a monitorare da vicino questo attacco avanzato. Più tardi, nel 2016, è emersa un'altra variante di Petya, contenente una funzionalità aggiuntiva da utilizzare se il virus non riusciva a ottenere l'accesso come amministratore a una macchina.

Nel giugno del 2017 è apparsa l'ultima varietà di Petya, paralizzando le organizzazioni di tutto il mondo in poche ore. Le funzionalità aggiornate di questa nuova variante hanno indotto alcuni professionisti della sicurezza a chiamare il virus NotPetya.

Qual è il prossimo passo?

Se hai già adottato le misure proattive sopra menzionate, dovresti essere protetto contro Petya/NotPetya. Se sei stato colpito da Petya o da un altro tipo di ransomware, visita il sito NoMoreRansom.org. E ricorda, non pagare mai il riscatto: se tratti con Petya, non riavrai indietro i tuoi file.