{"id":8602,"date":"2016-07-11T12:03:02","date_gmt":"2016-07-11T12:03:02","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=8602"},"modified":"2019-11-22T11:20:02","modified_gmt":"2019-11-22T09:20:02","slug":"satana-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/satana-ransomware\/8602\/","title":{"rendered":"Satana: il ransomware infernale"},"content":{"rendered":"<p>Quest\u2019anno le notizie di attacchi ransomware arrivano come un bollettino di guerra: non stop. I ricercatori trovano ogni giorno nuove variet\u00e0 di ransomware e scoprono modi nuovi e insoliti usati dai criminali per estorcere denaro direttamente a consumatori e imprese. E non appena gli esperti in sicurezza fanno qualche progresso, i delinquenti se ne escono con nuove strategie e tecniche di ransomware.<\/p>\n<p>Di recente \u00e8 stato scoperto un altro sofisticato campione di ransomware. Il malware \u00e8 soprannominato Satana e potrebbe suggerire origini russe. Il trojan fa due cose: cripta i file e danneggia il Master Boot Record (MBR) di Windows e quindi blocca il processo di bootstrap dello stesso.<\/p>\n<p>Abbiamo gi\u00e0 trattato i trojan che pasticciano con il MBR: il famigerato <a href=\"https:\/\/www.kaspersky.it\/blog\/petya-ransomware\/7827\/\" target=\"_blank\" rel=\"noopener\">Petya<\/a> \u00e8 uno di questi virus. In un certo senso, Satana si comporta in modo simile, per esempio iniettando il suo codice nel MBR. Tuttavia, mentre Petya cripta la Master File Table (MFT), Satana cripta il MBR. Per criptare i file del PC, Petya fa affidamento sull\u2019aiuto del suo \u201camico\u201d <a href=\"https:\/\/www.kaspersky.it\/blog\/mischa-ransomware\/8201\/\" target=\"_blank\" rel=\"noopener\">Mischa<\/a><u>;<\/u> Satana gestisce da solo le due mansioni.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Petya<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> eats your hard drives \u2013 <a href=\"https:\/\/t.co\/BSqbmRBmGf\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/BSqbmRBmGf<\/a> <a href=\"https:\/\/t.co\/WpvijrPlSP\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/WpvijrPlSP<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/715232633316384772?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 30, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Per coloro che non hanno familiarit\u00e0 con i meccanismi interni dei computer, proveremo a fare un po\u2019 di chiarezza. Il MBR \u00e8 una parte dell\u2019hard disk. Contiene informazioni sul file di sistema usate da differenti partizioni del disco, come la partizione in cui \u00e8 archiviato il sistema operativo.<\/p>\n<p>Se il MBR viene danneggiato o criptato il computer perde l\u2019accesso a una informazione fondamentale: la partizione che contiene il sistema operativo. Se il computer non riesce a trovare il sistema operativo, non pu\u00f2 fare il boot. I malfattori dietro i ransomware come Satana hanno approfittato di questo stato di cose e hanno potenziato il loro cryptolocker con capacit\u00e0 da bootlocker. Gli hacker scambiano il MBR, sostituendolo con il codice della lettera di riscatto e criptano e spostano il MBR da un\u2019altra parte.<\/p>\n<p>Il ransomware richiede circa 0,5 bitcoin (340$ approssimativamente) per decriptare il MBR e fornire il codice per decriptare i file colpiti. Una volta pagato il riscatto, dicono i creatori di Satana, verr\u00e0 ripristinato l\u2019accesso al sistema operativo e le cose torneranno come prima. Almeno, questo \u00e8 quello che dicono.<\/p>\n<p>Una volta dentro il sistema, Satana fa la scansione di tutte le istanze dei drive e della rete, alla ricerca dei file .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, e.asm, e comincia a criptarli. Inoltre aggiunge un indirizzo e-mail e tre trattini bassi all\u2019inizio del nome del file (per esempio, test.jpg diventerebbe Sarah_G@ausi.com___test.jpg).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-8607\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/07\/05234615\/qwe.png\" alt=\"qwe\" width=\"720\" height=\"400\"><\/p>\n<p>\u00a0<\/p>\n<p>Gli indirizzi e-mail fungono da informazioni di contatto per le vittime, che si suppone scrivano all\u2019indirizzo per ricevere le disposizioni di pagamento e quindi recuperare il codice di decriptazione. Finora i ricercatori hanno visto sei indirizzi e-mail utilizzati in questa campagna.<\/p>\n<p>La buona notizia \u00e8 che \u00e8 possibile bypassare parzialmente il blocco: con certe abilit\u00e0, il MBR pu\u00f2 essere riparato. Gli esperti del blog The Windows Club hanno fornito <a href=\"http:\/\/www.thewindowsclub.com\/repair-master-boot-record-mbr-windows\" target=\"_blank\" rel=\"noopener nofollow\">istruzioni<\/a> dettagliate su come riparare il MBR usando la funzione di ripristino del sistema operativo di Windows. Tuttavia, quella funzione \u00e8 progettata per utenti esperti che hanno dimestichezza a lavorare con il prompt dei comandi e l\u2019utility bootrec.exe utility; \u00e8 improbabile che un utente ordinario riesca subito a svolgere questo difficile procedimento e potrebbe non sentirsi a suo agio nel tentativo.<\/p>\n<p>La cattiva notizia \u00e8 che anche con Windows sbloccato con successo, rimane l\u2019altra met\u00e0 del problema: i file criptati. Per questo non \u00e8 ancora disponibile una cura.<\/p>\n<p>A questo punto, pare che Satan sia appena agli esordi della sua carriera di ransomware: non \u00e8 diffuso e i ricercatori hanno individuato dei difetti nel codice. Tuttavia, \u00e8 probabile che migliori col tempo e che si evolva in una minaccia molto seria.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Per adesso, il consiglio di base che diamo agli utenti \u00e8 di essere sempre vigili. Le nostre semplici raccomandazioni vi aiuteranno a diminuire il rischio d\u2019infezione e a tenervi il pi\u00f9 possibile lontano dai guai.<\/p>\n<ol>\n<li><strong> Fate regolarmente il backup dei vostri dati. <\/strong>Questa \u00e8 la vostra polizza assicurativa. Nel caso di un attacco ransomware riuscito, potete reinstallare il sistema operativo e recuperare i vostri file dalle copie di backup.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li><strong>Non visitate siti sospetti e non aprite allegati e-mail sospetti<\/strong>, anche se ricevuti da una persona che conoscete. State molto attenti: si sa poco sulle tecniche di propagazione di Satana<\/li>\n<\/ol>\n<ol start=\"3\">\n<li><strong>Assicuratevi di utilizzare una soluzione antivirus affidabile<\/strong>. <a href=\"https:\/\/store.kaspersky.it\/qte.html?R=KIS2016AI11ABO\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> rileva Satana come Trojan-Ransom.Win32.Satan e gli impedisce di criptare file o bloccare il sistema.<\/li>\n<\/ol>\n<ol start=\"4\">\n<li><strong>E, ovviamente, seguite le nostre news!<\/strong><\/li>\n<\/ol>\n<p>Tenteremo sempre di informarvi sulle minacce pi\u00f9 recenti il pi\u00f9 presto possibile, cos\u00ec il malware non vi coglier\u00e0 impreparati.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il nuovo ransomware chiamato Satana cripta i vostri file e blocca il sistema operativo dal boot.<\/p>\n","protected":false},"author":2194,"featured_media":8603,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[2101,638,635,2102,441],"class_list":{"0":"post-8602","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-cryptoblocker","10":"tag-minacce","11":"tag-ransomware","12":"tag-satana","13":"tag-trojan"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/satana-ransomware\/8602\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/satana-ransomware\/7389\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/satana-ransomware\/7413\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/satana-ransomware\/7362\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/satana-ransomware\/8652\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/satana-ransomware\/12442\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/satana-ransomware\/2260\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/satana-ransomware\/12558\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/satana-ransomware\/5808\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/satana-ransomware\/6406\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/satana-ransomware\/5097\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/satana-ransomware\/8155\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/satana-ransomware\/11998\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/satana-ransomware\/12442\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/satana-ransomware\/12558\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/satana-ransomware\/12558\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/cryptoblocker\/","name":"Cryptoblocker"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2194"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=8602"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8602\/revisions"}],"predecessor-version":[{"id":18844,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8602\/revisions\/18844"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/8603"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=8602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=8602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=8602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}