{"id":13641,"date":"2017-06-28T07:10:06","date_gmt":"2017-06-28T07:10:06","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=13641"},"modified":"2020-05-19T20:23:00","modified_gmt":"2020-05-19T18:23:00","slug":"new-ransomware-epidemics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/new-ransomware-epidemics\/13641\/","title":{"rendered":"Nuovo ransomware Petya \/ NotPetya \/ ExPetr"},"content":{"rendered":"<p><strong>[Aggiornamento: 28 giugno, ore 17:00]<\/strong><\/p>\n<p>Ieri \u00e8 scoppiata un\u2019epidemia di ransomware a livello mondiale e sembra sia grande tanto quanto quella di <a href=\"https:\/\/www.kaspersky.it\/blog\/wannacry-ransomware\/10313\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>, scoppiata non molto tempo fa.<\/p>\n<p>Esistono diversi report secondo cui sono state colpite aziende abbastanza grandi di diversi paesi e la portata dell\u2019epidemia rischia di aumentare ancora di pi\u00f9.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ransom\">\n<p><\/p>\n<p>Alcuni ricercatori hanno consigliato che il nuovo ransomware possa essere WannaCry (non lo \u00e8) oppure una variante del ransomware\u00a0<a href=\"https:\/\/www.kaspersky.it\/blog\/petya-ransomware\/7827\/\" target=\"_blank\" rel=\"noopener\">Petya<\/a> (sia esso Petya.A, Petya.D o <a href=\"https:\/\/securelist.ru\/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks\/30388\/\" target=\"_blank\" rel=\"noopener\">PetrWrap<\/a>). Gli esperti di Kaspersky Lab sono arrivati alla conclusione che questo nuovo malware sia abbastanza diverso da tutte le precedenti versioni conosciute di Petya ed ecco perch\u00e9 lo stiamo trattando come una famiglia di malware diversa. L\u2019abbiamo chiamato ExPetr (o NotPetya \u2013 non ufficiale).<\/p>\n<p>Sembra essere un attacco complesso che coinvolge diversi vettori d\u2019attacco. Possiamo confermare che \u00e8 stato utilizzato un exploit EternalBlue modificato per la diffusione nelle reti aziendali. <a href=\"https:\/\/securelist.com\/schroedingers-petya\/78870\/\" target=\"_blank\" rel=\"noopener\">Qui troverete maggiori informazioni tecniche sull\u2019attacco.<\/a><\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/06\/27133735\/wannamore-ransomware-screenshot.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-17316\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/06\/27133735\/wannamore-ransomware-screenshot.jpg\" alt=\"\" width=\"1280\" height=\"745\"><\/a><\/p>\n<p>Per adesso, sappiate che i prodotti di Kaspersky Lab rilevano il nuovo ransomware come:<\/p>\n<ul>\n<li>Trojan-Ransom.Win32.ExPetr.a<\/li>\n<li>HEUR:Trojan-Ransom.Win32.ExPetr.gen<\/li>\n<li>UDS:DangerousObject.Multi.Generic (detected by Kaspersky Security Network)<\/li>\n<li>PDM:Trojan.Win32.Generic (detected by the System Watcher feature)<\/li>\n<li>PDM:Exploit.Win32.Generic (detected by the System Watcher feature)<\/li>\n<\/ul>\n<h2>Consigli per i nostri clienti delle aziende:<\/h2>\n<ol>\n<li>Assicuratevi che Kaspersky Security Network e che le componenti di System Watcher siano attivate.<\/li>\n<li>Aggiornate manualmente i database dell\u2019antivirus immediatamente.<\/li>\n<li>Installate tutti gli aggiornamenti di Windows. L\u2019aggiornamento che risolve l\u2019errore sfruttato da EternalBlue \u00e8 particolarmente importante.<\/li>\n<li>Come ulteriore protezione, potete utilizzare il <a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/it-IT\/39265.htm\" target=\"_blank\" rel=\"noopener nofollow\">Controllo Privilegi applicazioni<\/a>. Si tratta di un componente di Kaspersky Endpoint security per <a href=\"http:\/\/support.kaspersky.com\/10905#block1\" target=\"_blank\" rel=\"noopener\">non consentire alcun accesso<\/a> (e quindi la possibilit\u00e0 di interazione o esecuzione) per tutti i gruppi di applicazioni al file denominato <em>perfc.dat<\/em> e per evitare che\u00a0il servizio PSExec (parte del Sysinternals Suite) si avvii.<\/li>\n<li>In alternativa, utilizzate il <a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/it-IT\/129102.htm\" target=\"_blank\" rel=\"noopener nofollow\">Controllo Avvio Applicazioni<\/a>, componente di Kaspersky Endpoint Security per bloccare l\u2019esecuzione del servizio PSExec; utilizzate per\u00f2 Application Privilege Control per bloccare <em>perfc.dat<\/em>.<\/li>\n<li>Configurate e abilitate la modalit\u00e0 Default Deny nella componente Controllo Avvio Applicazioni di Kaspersky Endpoint Security per assicurare e rafforzare la difesa contro questo e altri attacchi.<\/li>\n<li>Potete anche utilizzare la funzionalit\u00e0 AppLocker per disabilitare l\u2019esecuzione del file perfc.dat e del servizio PSExec.<\/li>\n<\/ol>\n<h3>Consigli per i clienti individuali<\/h3>\n<p>Gli utenti che utilizzano il pc da casa sembrano essere meno colpiti da questa minaccia; i cybercriminali che si celano dietro il ransomware colpiscono prevalentemente le grandi aziende. Ad ogni modo, una protezione efficace non ha mai fatto male a nessuno. Ecco cosa potete fare:<\/p>\n<ol>\n<li>Effettuate il backup dei vostri dati. \u00c8 sempre la cosa giusta da fare di questi tempi.<\/li>\n<li>Se state utilizzando una delle nostre soluzioni di sicurezza, assicuratevi di abilitare Kaspersky Security Network e System Watcher.<\/li>\n<li>Aggiornate manualmente i database dell\u2019antivirus. Sul serio, fatelo adesso; non impiegherete molto tempo.<\/li>\n<li>Installate tutti gli aggiornamenti di Windows. L\u2019aggiornamento che risolve l\u2019errore sfruttato da EternalBlue \u00e8 particolarmente importante. <a href=\"https:\/\/www.kaspersky.it\/blog\/wannacry-windows-update\/10370\/\" target=\"_blank\" rel=\"noopener\">In questo link vi spieghiamo come farlo<\/a>.<\/li>\n<\/ol>\n<h3>Non pagate il riscatto<\/h3>\n<p>In base a un <a href=\"https:\/\/motherboard.vice.com\/en_us\/article\/new8xw\/hacker-behind-massive-ransomware-outbreak-cant-get-emails-from-victims-who-paid\" target=\"_blank\" rel=\"noopener nofollow\">aggiornamento fornito da Motherboard<\/a>, il provider email tedesco Posteo ha disattivato l\u2019indirizzo e-mail attraverso il quale le vittime potevano mettersi in contatto con i ricattatori, confermare le transazioni in bitcoin e ricevere le chiavi per decriptare i dati. Ci\u00f2 vuol dire che le vittime che avevano intenzione di pagare i cybercriminali non potranno pi\u00f9 riavere indietro i propri file. Kaspersky Lab sconsiglia di pagare il riscatto, a maggior ragione adesso che sarebbe praticamente inutile.<\/p>\n<p>Aggiornamento: Oltre a tutto questo, le analisi dei nostri esperti indicano che non c\u2019era mai stata alcuna speranza che le vittime recuperassero i loro dati.<\/p>\n<p>I ricercatori di Kaspersky Lab hanno analizzato il codice della crittografia e hanno stabilito che, dopo la crittografia del disco, i responsabili della minaccia non erano in grado di decriptare i dischi delle vittime. Per farlo, i criminali hanno bisogno del codice identificativo del dispositivo. Nelle precedenti versioni di ransomware simili a Petya\/Mischa\/GoldenEye, questo codice conteneva le informazioni necessarie per ottenere la chiave di recupero.<\/p>\n<p>ExPetr (conosciuto anche come NotPetya) non possiede alcun codice identificativo; questo vuol dire che i responsabili della minaccia non hanno potuto estrarre le informazioni necessarie per il decriptaggio. In poche parole, le vittime non hanno potuto recuperare i propri dati.<\/p>\n<p>Non pagate il riscatto. Non servirebbe a nulla.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ransom\">\n","protected":false},"excerpt":{"rendered":"<p>Una nuova epidemia di ransomware sta avvenendo proprio in questo istante. Ecco tutto quello che c&#8217;\u00e8 da sapere e cosa potete fare per proteggervi dalla minaccia.<\/p>\n","protected":false},"author":40,"featured_media":13642,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[790,2028,2466,2465,638,399,1929,635,441,2430],"class_list":{"0":"post-13641","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-blocker","10":"tag-cryptor","11":"tag-diffusione","12":"tag-epidemia","13":"tag-minacce","14":"tag-notizie","15":"tag-petya","16":"tag-ransomware","17":"tag-trojan","18":"tag-wannacry"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-ransomware-epidemics\/13641\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-ransomware-epidemics\/8698\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-ransomware-epidemics\/4712\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/new-ransomware-epidemics\/11710\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-ransomware-epidemics\/11249\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-ransomware-epidemics\/10732\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-ransomware-epidemics\/13581\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-ransomware-epidemics\/17855\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-ransomware-epidemics\/3319\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-ransomware-epidemics\/9226\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-ransomware-epidemics\/9204\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/new-ransomware-epidemics\/6963\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/new-ransomware-epidemics\/16631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-ransomware-epidemics\/17314\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/minacce\/","name":"minacce"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/13641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=13641"}],"version-history":[{"count":14,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/13641\/revisions"}],"predecessor-version":[{"id":21732,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/13641\/revisions\/21732"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/13642"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=13641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=13641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=13641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}