{"id":7827,"date":"2016-03-30T13:34:02","date_gmt":"2016-03-30T13:34:02","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7827"},"modified":"2020-02-26T17:30:55","modified_gmt":"2020-02-26T15:30:55","slug":"petya-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/petya-ransomware\/7827\/","title":{"rendered":"Il ransomware Petya mangia i vostri hard disk"},"content":{"rendered":"<p>Pare che il 2016 debba essere dichiarato anno del ransomware, dato che, di tanto in tanto, spuntano come funghi nuove famiglie e nuove versioni.<\/p>\n<p>Il ransomware si sta evolvendo con rapidit\u00e0. Le nuove versioni utilizzano forti criptografie asimmetriche con codici lunghi, cosicch\u00e9 i file non possano essere decriptati senza il codice. I criminali hanno cominciato a usare TOR e i pagamenti in bitcoin per rimanere del tutto anonimi. E adesso c\u2019\u00e8 il ransomware Petya che cripta l\u2019intero disco rigido invece che i singoli file.<\/p>\n<h3>Come fa Petya a mettere le mani sul vostro PC<\/h3>\n<p>Petya \u00e8 un ransomware <a href=\"https:\/\/blog.gdatasoftware.com\/2016\/03\/28213-ransomware-petya-encrypts-hard-drives\" target=\"_blank\" rel=\"noopener nofollow\">scoperto da G Data SecurityLabs<\/a>. Prende di mira soprattutto gli utenti aziendali poich\u00e9 \u00e8 distribuito tramite email di spam che fingono di contenere domande di assunzione. Lo scenario standard dell\u2019infezione \u00e8 il seguente.<\/p>\n<p>Un addetto alle risorse umane riceve un\u2019email da qualcuno che sta cercando lavoro in azienda. L\u2019email contiene un link Dropbox a un file che finge di essere il curriculum vitae ma che \u00e8, in realt\u00e0, un file EXE.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Petya <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> encrypts master file table via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/kCpbUcT1kV\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/kCpbUcT1kV<\/a> <a href=\"https:\/\/t.co\/9e6YjTkEVV\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/9e6YjTkEVV<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/714547644492824576?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 28, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Cliccando sul file, non si scarica un CV, come ci si aspetterebbe. Si trova, invece, una <a href=\"https:\/\/it.wikipedia.org\/wiki\/Schermata_blu_di_errore\" target=\"_blank\" rel=\"noopener nofollow\">schermata blu di errore<\/a>. Ci\u00f2 significa che Petya si \u00e8 intrufolato nel PC dell\u2019utente e ha dato inizio al suo sporco lavoro.<\/p>\n<h3>Il vostro hard disk ci appartiene<\/h3>\n<p>Di solito, i comuni ransomware criptano file specifici: immagini, documenti Office e cos\u00ec via, lasciando il sistema operativo indenne in modo che la vittima possa usare il PC per pagare il riscatto. Ma Petya \u00e8 molto pi\u00f9 violento poich\u00e9 punta a bloccare l\u2019accesso all\u2019intero disco rigido.<\/p>\n<p>In breve, non importa quanto sia organizzato il vostro hard disk, se c\u2019\u00e8 solo una partizione o di pi\u00f9, c\u2019\u00e8 sempre dello spazio a voi invisibile chiamato <a href=\"https:\/\/it.wikipedia.org\/wiki\/Master_boot_record\" target=\"_blank\" rel=\"noopener nofollow\">Master Boot Record (MBR)<\/a>. Contiene tutti i dati sul numero e l\u2019organizzazione delle partizioni, oltre a un codice speciale usato per avviare il sistema operativo, chiamato boot loader.<\/p>\n<p>Il boot loader avvia sempre per PRIMA il sistema operativo. E questo \u00e8 esattamente ci\u00f2 che infetta Petya: modifica il boot loader affinch\u00e9 carichi il codice dannoso invece di un qualunque sistema operativo installato sul PC.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Researchers Learning More About <a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Petya<\/a> Ransomware: <a href=\"https:\/\/t.co\/WwOQ1mEsRb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/WwOQ1mEsRb<\/a> <a href=\"https:\/\/t.co\/O4TaS593ta\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/O4TaS593ta<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/714911391795322880?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 29, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>All\u2019utente sembra che il Check Disk sia in esecuzione, il che va molto bene dopo un crash del sistema operativo. Ma quello che fa davvero Petya in questo momento \u00e8 criptare il <a href=\"https:\/\/it.wikipedia.org\/wiki\/Master_File_Table\" target=\"_blank\" rel=\"noopener nofollow\">Master File Table<\/a>. Si tratta di un altro lato nascosto della vita privata del vostro disco rigido e contiene tutte le informazioni su come sono distribuiti file e cartelle.<\/p>\n<p>Pensate al vostro hard disk come a una vasta biblioteca che contiene milioni o anche miliardi di tomi e il Master File Table \u00e8 l\u2019indice della biblioteca. Beh, questa \u00e8 una spiegazione molto semplificata, rendiamola pi\u00f9 realistica: sul vostro disco rigido i \u201clibri\u201d raramente sono conservati come oggetti separati, piuttosto come singole pagine o anche ritagli. A mucchi. In nessun ordine in particolare, bens\u00ec pressoch\u00e9 casuale.<\/p>\n<p>Forse adesso avete un\u2019idea generica di quanto sarebbe difficile trovare un singolo \u201clibro\u201d se qualcuno rubasse questo \u201cindice\u201d, che \u00e8 esattamente ci\u00f2 che fa il ransomware Petya.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/yfCt35RTR-U?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>A questo punto, Petya rivela il suo vero volto: un teschio creato con i simboli ASCII. Quindi inizia la solita routine: il malware chiede all\u2019utente di pagare un riscatto (0.9 bitcoin, pari a circa 380$) se vuole che il disco rigido renga decriptato e riavere i file.<\/p>\n<p>L\u2019unica differenza da altri ransomware \u00e8 che Petya \u00e8 completamente offline, il che non sorprende visto che ha \u201cmangiato\u201d il sistema operativo, di conseguenza l\u2019utente deve trovare un altro computer per pagare il riscatto e riavere i suoi dati.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Let's talk <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a>. Would you pay the <a href=\"https:\/\/twitter.com\/hashtag\/hackers?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#hackers<\/a> ransom?<\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/714874484910632960?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 29, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h3>Combattere Petya<\/h3>\n<p>Purtroppo, come con altri recenti tipologie di ransomware, i ricercatori non hanno ancora trovato un modo di decrittare le informazioni criptate da Petya. Tuttavia, c\u2019\u00e8 ancora qualcosa che potete fare per proteggere voi stessi e i vostri dati e delle notizie positive rispetto alla distribuzione di Petya.<\/p>\n<p>La buona notizia \u00e8 che Dropbox ha rimosso dal suo cloud storage gli archivi dannosi con Petya. Cos\u00ec adesso ai delinquenti tocca trovare altri canali di distribuzione. La cattiva notizia \u00e8 che probabilmente non ci metteranno troppo tempo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Quindi, torniamo alla protezione. Cosa potete fare?<\/p>\n<p>1. Quando l\u2019utente vede la schermata blu di errore, tutti i suoi dati non sono ancora compromessi, poich\u00e9 Petya non ha cominciato a criptare il Master File Table. Quindi se il vostro computer vi mostra una schermata blu, riavviate e fate partire il Check Disk e spegnetelo immediatamente. A questo punto potete anche rimuovere il vostro disco rigido, connetterlo a un altro computer (ma non utilizzatelo come un dispositivo d\u2019avvio!) e recuperate i vostri file.<\/p>\n<p>2. Petya cripta solo il Master Fit Table lasciando i file intatti, che possono essere ancora salvati da specialisti nel recupero di hard disk. Questa procedura sarebbe complessa, lunga e costosa, ma in sostanza \u00e8 fattibile. Ad ogni modo, non provateci a casa: un errore potrebbe cancellare i vostri file per sempre.<\/p>\n<p>3. Il modo migliore \u00e8 prevenire usando una buona soluzione di sicurezza. Kaspersky Internet Security non vi far\u00e0 recapitare le email di spam, quindi probabilmente neanche vedrete quella con il link a Petya. Se anche riuscisse a intrufolarsi, sarebbe rilevato come Trojan-Ransom.Win32.Petr e <a href=\"https:\/\/www.kaspersky.com\/it\/multi-device-security?_ga=1.94677403.668146801.1451319446\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> bloccherebbe tutte le sue attivit\u00e0. E farebbero lo stesso tutte le nostre altre soluzioni antivirus.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cryptolocker era dannoso, CTB-Locker era anche peggio, e il nuovo ransomware Petya \u00e8 un autentico disastro.<\/p>\n","protected":false},"author":696,"featured_media":7828,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[1931,1930,1929,635,1932,1933],"class_list":{"0":"post-7827","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-anno-del-ransomware","10":"tag-cose-il-ransomware","11":"tag-petya","12":"tag-ransomware","13":"tag-ransomware-petya","14":"tag-sos-ransomeware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/petya-ransomware\/7827\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/petya-ransomware\/5388\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/petya-ransomware\/3772\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/petya-ransomware\/6941\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/petya-ransomware\/6956\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/petya-ransomware\/6915\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/petya-ransomware\/8044\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/petya-ransomware\/11447\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/petya-ransomware\/11715\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/petya-ransomware\/5481\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/petya-ransomware\/7375\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/petya-ransomware\/10875\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/petya-ransomware\/11447\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/petya-ransomware\/11715\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/petya-ransomware\/11715\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/anno-del-ransomware\/","name":"anno del ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7827","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7827"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7827\/revisions"}],"predecessor-version":[{"id":20713,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7827\/revisions\/20713"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7828"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7827"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7827"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7827"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}