Ransomware Petya: trovato il vaccino per il tuo PC

Un ricercatore di sicurezza informatica della Cybereason Amit Serper ha trovato un modo per impedire che il ransomware di Petya (NotPetya / SortaPetya / Petna) infetti i computer.

Il ransomware ha causato danni in tutto il mondo, bloccando le sezioni MFT e MBR dell’unità disco rigido e impedendo al computer di avviarsi. A meno che le vittime non abbiano optato per pagare un riscatto (ora è inutile e non consigliato), visto che non c’era modo di recuperare i propri sistemi.

Nelle prime ore dell’attacco, i ricercatori hanno creduto che questo nuovo ransomware fosse la nuova versione di una vecchia minaccia chiamata Petya, ma in seguito scoprirono che si trattava di un nuovo ceppo di virus, che ha preso in prestito un codice sorgente da Petya, e quindi il motivo per cui hanno iniziato a chiamarlo NotPetya, Petna, o come lo vogliamo chiamare SortaPetya.

I ricercatori si sono affrettati a trovare il meccanismo del killswitch

A causa della diffusione globale del ransomware, molti ricercatori si sono impegnati ad analizzarlo, sperando di trovare una scappatoia nella sua crittografia o un dominio che avrebbe impedito la diffusione, simile a WannaCry.

Ransomware Petya: una soluzione possibile

Analizzando le operazioni interne del ransomware, Serper è stato il primo a scoprire che NotPetya avrebbe cercato un file locale e sarebbe uscito dalla sua routine di crittografia se quel file esisteva già sul disco.

I risultati iniziali del ricercatore sono stati successivamente confermati da altri ricercatori di sicurezza, quali PT Security, TrustedSec e Emsisoft.

Ciò significa che le vittime possono creare quel file nei propri PC, impostarlo in sola lettura e bloccare il ransomware NotPetya da eseguire.

Quindi questo impedisce al ransomware di eseguirsi nel sistema, e il metodo è più da considerarsi una vaccinazione che un interruttore di uccisione del virus.

Questo perché ogni utente del computer deve creare in modo indipendente questo file che può considerarsi come uno “switch” che lo sviluppatore di ransomware potrebbe attivare o disabilitare e quindi si potrebbero prevenire globalmente tutte le infezioni da ransomware.

 

Come abilitare il vaccino NotPetya / Petna / Petya

Per vaccinare il computer in modo da non infettatasi e sufficiente creare un file chiamato perfc nella cartella C: \ Windows e impostarlo in modalità solo lettura.

Per chi desidera un modo rapido e semplice per eseguire questa operazione, Lawrence Abrams ha creato un file batch che esegue questo passaggio per te.

Si prega di notare che il file batch creerà anche due file di vaccinazione aggiuntivi chiamati perfc.dat e perfc.dll.

Mentre i miei test non indicavano che questi file aggiuntivi siano necessari, li ho aggiunti per completezza in base alle risposte a questo tweet.

Questo file batch può essere trovato all’indirizzo:

https://download.bleepingcomputer.com/bats/nopetyavac.bat

Per coloro che desiderano vaccinare manualmente il proprio computer, è possibile farlo utilizzando i seguenti passaggi.

Si prega di notare che questi passaggi sono stati creati per renderlo il più semplice possibile anche per coloro con scarsa esperienza di computer. Per coloro che hanno una maggiore esperienza, potete farlo in parecchi midi diversi, forse migliori e più velocemente.

Procedura per vaccinare dal Ransomware Petya

Innanzitutto, configurare Windows per mostrare le estensioni dei file. Assicurarsi che l’impostazione delle opzioni di cartella per Nascondere le estensioni per i tipi di file noti non sia selezionata come segue.

Una volta attivata la visualizzazione delle estensioni, apri la cartella C: \ Windows. Una volta aperta la cartella, scorrere verso il basso fino a visualizzare il programma notepad.exe.

Una volta visualizzata il programma notepad.exe, fai clic con tasto sinistro una volta, quindi vedrai che viene evidenziato. Quindi premere i tasti Ctrl + C (Ctrl + C) per copiare e quindi Ctrl + V (tasto Ctrl + V) per incollarlo. Quando lo si incolla, riceverai un prompt che ti chiede di concedere l’autorizzazione per copiare il file.

Premere il pulsante Continua e il file verrà creato come blocco note – Copy.exe. Fare clic con il tasto sinistro su questo file e premere il tasto F2 sulla tastiera e ora cancellare il nome del file di notepad “Copy.exe” e digitare “perfc” come mostrato di seguito.

Una volta che il nome del file è stato modificato in perfc, premere Invio sulla tastiera. Ora riceverai una richiesta prompt per chiederti se sei sicuro di voler rinominarlo.

Fai clic sul pulsante Sì. Windows chiederà nuovamente l’autorizzazione a rinominare un file in quella cartella. Fai clic sul pulsante Continua.

Ultimo passaggio per ottenere il vaccino infallibile

Ora che il file perfc è stato creato, dobbiamo far si che sia di sola lettura. A tale scopo, fare clic con il pulsante destro del mouse sul file e selezionare Proprietà come mostrato di seguito.

Si apre ora il menu delle proprietà di questo file. Nella parte inferiore apparirà una casella di controllo denominata “sola lettura”. Inserisci un segno di spunta come mostrato nell’immagine qui sotto.

Ora fai clic sul pulsante Applica e poi sul pulsante OK. La finestra delle proprietà dovrebbe chiudersi. Secondo i test, il file C: \ windows \ perfc è tutto quello di cui abbiamo bisogno per vaccinare il computer, è stato anche suggerito di creare C: \ Windows \ perfc.dat e C: \ Windows \ perfc.dll per essere più approfonditi . È possibile ripetere questi passaggi anche per creare questi ultimi file.

Il computer dovrebbe ora essere vaccinato contro la NotPetya / SortaPetya / Petya Ransomware.

Via