Petya – l’analisi ESET del malware globale

L’ultimo attacco ransomware globale che ha investito molti paesi europei tra cui l’Italia e che tanto clamore ha destato sui media nazionali e internazionali, ha visto come protagonista l’ormai famigerato malware Petya rilevato dalle soluzioni di sicurezza ESET come Win32/Diskcoder.C.

In questo articolo del nostro blog analizzeremo gli aspetti tecnici di questo pericolosissimo ransomware e indicheremo le contromisure da adottare per evitare possibili infezioni.

Il Discover.C è un Trojan che codifica i file sui dischi locali. Per poter ripristinare l’accesso ai file alle vittime vengono richieste diverse informazioni e il pagamento di una certa somma di Bitcoin. Questo cavallo di Troia si diffonde sfruttando diverse vulnerabilità del sistema operativo delle macchine vittima, tra cui anche la nota falla EternalBlue precedentemente utilizzata a maggio dal ransomware WannaCry.

Installazione

Il Trojan non crea alcuna copia di se stesso.

Dopo essere stato eseguito sul sistema, il cavallo di Troia crea i seguenti file:

C:\­Windows\­perfc
C:\­Windows\­dllhost.dat

Una volta completata la sua installazione, il ransomware elimina il proprio file eseguibile.

Successivamente, il Win32/Diskcoder.C sostituisce l’MBR (Master Boot Record) originale dell’hard disk con il proprio codice infetto.

Il Trojan poi registra il primo settore dell’MBR originale della macchina infettata nella riga 34 del nuovo settore di avvio.

Diffusione

Il Win32/Diskcoder.C è un Trojan che si diffonde prevalentemente attraverso le cartelle condivise in rete.

Nei casi analizzati il malware tenta di accedere alla seguente condivisione:

admin$

sfruttando la vulnerabilità MS17-010 qualora il computer della vittima non fosse stato correttamente aggiornato con la specifica patch della Microsoft.

Descrizione della routine di infezione

Come precedentemente accennato il Win32/Diskcoder.C, come la maggior parte dei cryptoransomware, codifica i file presenti nei dischi locali delle macchine infettate.

Il Trojan cerca i file con le seguenti estensioni:

.3ds
.7z
.accdb
.ai
.asp
.aspx
.avhd
.back
.bak
.c
.cfg
.conf
.cpp
.cs
.ctl
.dbf
.disk
.djvu
.doc
.docx
.dwg
.eml
.fdb
.gz
.h
.hdd
.kdbx
.mail
.mdb
.msg
.nrg
.ora
.ost
.ova
.ovf
.pdf
.php
.pmf
.ppt
.pptx
.pst
.pvi
.py
.pyc
.rar
.rtf
.sln
.sql
.tar
.vbox
.vbs
.vcb
.vdi
.vfd
.vmc
.vmdk
.vmsd
.vmx
.vsdx
.vsv
.work
.xls
.xlsx
.xvd
.zip

Nella sua attività di ricerca evita di interrogare i file contenuti nella seguente cartella:

C:\­Windows

Successivamente, il malware codifica il contenuto dei file trovati utilizzando i seguenti algoritmi crittografici:

• RSA
• AES

Per decodificare i file viene poi richiesto alla vittima di inviare delle informazioni e di pagare un riscatto in Bitcoin.

Terminata la fase di codifica dei file, il ransomware crea il seguente file:

%drive%\­README.TXT

Che contiene il seguente testo:

Ooops, your important files are encrypted.
 
If you see this text, then your files are no longer accessible, because
they have been encrypted. Perhaps you are busy looking for a way to recover
your files, but don’t waste your time. Nobody can recover your files without
our decryption service.
 
We guarantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the decryption key.
 
Please follow the instructions:
 
1. Send $300 worth of Bitcoin to following address:
 
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
 
2. Send your Bitcoin wallet ID and personal installation key to e-mail wowsmith123456@posteo.net.
Your personal installation key:
 
AQIAAA5mAAAApAAAJ0quN3lfqin4N84edPIoM70cTN5bF7ck/a/KpXuiGavQlL0k
fVtzLu/4yc2GdhMia2ZmwH2F3jDTFQtUqkGafuGNmDzOzEM2D/1ASSMkq3Lg99zv
TF4iCK2qGEIa4l6/S9uKEFnxsSg1mQOnCLqw89vgpA0ITLbImqV/H1sHDno5ODy2
fjDe3bMXVzfxqy42bD93uQVCRx7/YSUkQ3p5Zn1efVdpDwhcRfLBbj6EClzET23S
/PKQWNQzqdfNcgpyzVSlBpqAq7Dt+0o06tzIhPWT4ErwMux2+qXT4KEgu4YEI65P
x+woUQLvG7RX/CAmZHrZI/vNISRJIBjpL3OiwA==

Completata la propria attività di infezione, il Trojan può riavviare il sistema operativo compromesso.

Un altro particolare interessante è la capacità del Win32/Diskcoder.C di codificare delle parti specifiche dei dischi.

Al termine delle sue attività il malware mostra questo falso messaggio di errore:

Ulteriori informazioni

Dall’analisi dei campioni ricevuti è emerso che il Trojan sia in grado di avviare i seguenti comandi sui PC colpiti:

C:\­Windows\­dllhost.dat\­\­%computer% -accepteula -s -d C:\­Windows\­System32\­rundll32.exe C:\­Windows\­%malwarename%,#1
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %drive%:
schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “shutdown.exe /r /f” /ST %time%
at %time% shutdown.exe /r /f

Suggerimenti per proteggere i sistemi

Le misure di sicurezza che riporteremo successivamente dovrebbero essere attuate a prescindere dalla tipologia di malware e nel caso specifico vogliamo sottolineare l’importanza di verificare la vulnerabilità del sistema alla cosiddetta falla EternalBlue utilizzando il seguente strumento gratuito ESET

ESET EternalBlue Checker

Ricordiamo che i file criptati possono essere considerati come danneggiati in maniera irreparabile. Si raccomanda quindi di seguire quanto riportato per ridurre al minimo l’impatto che i ransomware come il Petya, possono avere sul sistema e sui dati ivi contenuti. Se il sistema è stato adeguatamente preparato e messo in sicurezza, il rischio di perdere i dati si riduce in modo significativo.

Backup dei dati

La strategia di base ed essenziale per difendersi dai malware è avere un backup costantemente aggiornato. Occorre ricordare che un ransomware codificherà anche i file sui dischi di rete a cui si è assegnata una lettera e a volte anche quelli a cui non è stata assegnata. Ciò include qualsiasi drive come quelli USB, come anche ogni archivio di rete o nel Cloud. Quindi è fondamentale un regime di backup periodico che sia basato su dispositivi che non siano costantemente connessi alla rete.

Mostrare le estensioni nascoste dei file

Spesso un ransomware arriva in un file con estensione “.PDF.EXE”. Ciò sfrutta il comportamento predefinito di Windows in cui le estensioni note dei file sono nascoste. Ripristinando la capacità di vedere le estensioni dei file sarà più facile notare i file sospetti.

Filtrare i file EXE nelle email

Se il vostro scanner mail sul gateway ha la capacità di filtrare i file per estensione, potreste bloccare le email che abbiano come allegato file “.EXE”, o quelle che presentano allegati con doppia estensione di cui l’ultima eseguibile (file “*.*.EXE”, definiti nel filtro). Se gli utenti aziendali dovessero avere bisogno di scambiare legittimamente file eseguibili, potranno farlo con archivi .ZIP protetti da password o per mezzo dei servizi in Cloud.

Non aprire allegati o fare clic su link presenti in email o messaggi inattesi

Un classico metodo di infezione è quando un utente apre l’allegato di una mail non attesa o quando fa clic su un link contenuto in una mail che sembra provenire da una banca o da un servizio di recapiti. Gli utenti dovrebbero essere istruiti a non aprire allegati, link o file contenuti in email sospette o provenienti da contatti sconosciuti.

Disabilitare l’esecuzione dei file contenuti nelle cartelle AppData/LocalAppData

Un particolare comportamento di alcuni ransomware è avviare i file eseguibili dalle cartelle AppData o Local AppData. Potrete creare delle regole in Windows o nel software anti intrusione da voi utilizzato per bloccare tali comportamenti. Se per alcune ragioni dei software legittimi vengono eseguiti dalla cartella AppData piuttosto che dalla solita area Program Files, vi basterà escluderli da questa regola.

Disabilitare RDP

I malware Cryptolocker/Filecoder come il Win32/Diskcoder.C spesso accedono alle macchine delle vittime usando il protocollo di Desktop Remoto (RDP), uno strumento Windows che consente ad altri di accedere da remoto ai desktop. I cybercriminali sanno bene come autenticarsi attraverso una sessione RDP e quindi disabilitare il software di sicurezza. I software di sicurezza ESET includono strumenti di autoprotezione per difendersi, ma la prassi migliore è disabilitare l’RDP a meno che non se ne abbia necessità. Per le istruzioni su come disabilitare questa funzione potrete leggere i relativi articoli della Knowledge Base di Microsoft.

Aggiornare il sistema operativo e tutti i software

Gli autori di malware sfruttano spesso le vulnerabilità note di alcuni software, solitamente usati da utenti che purtroppo non li tengono aggiornati. Potrete ridurre in maniera significativa il rischio legato ai ransomware aggiornando spesso i vostri software. Alcuni produttori rilasciano regolarmente aggiornamenti di sicurezza (Microsoft e Adobe li rilasciano ogni secondo martedì del mese), ma talvolta vi sono aggiornamenti “eccezionali” o non pianificati, se possibile rendeteli automatici o andate direttamente sui siti dei produttori.

Nel caso specifico del Win32/Diskcoder.C o Petya aggiornare Windows con la patch di sicurezza descritta nel bollettino MS17-010, rilasciata per risolvere la cosiddetta vulnerabilità NSA EternalBlue.

Utilizzare una suite di sicurezza affidabile

Gli autori di malware diffondono frequentemente nuove varianti per evitare la rilevazione, questo è il motivo per cui è molto importante avere molteplici livelli di protezione. Persino dopo aver infettato il sistema molti malware attendono istruzioni da remoto per avviare le loro attività malevole. Se si è stati colpiti da una variante di ransomware così nuova da aver superato le difese dell’antimalware, potrebbe essere possibile intercettarlo quando tenta di ricevere informazioni dal suo server di comando e controllo (C&C) per la codifica dei file. L’ultima suite dei software ESET fornisce un modulo di protezione botnet che blocca il traffico pericoloso intercettando le comunicazioni ai server C&C.

Utilizzare il ripristino di sistema per tornare all’ultimo stato pulito conosciuto

Se su Windows avete abilitato il ripristino di sistema, potrebbe essere possibile tornare a uno stato precedente non infetto e ripristinare i file codificati dalle loro copie “Shadow”. Bisogna però muoversi velocemente, perché i nuovi ransomware hanno la capacità di eliminare i file “Shadow” dal ripristino di sistema. Questi malware inizieranno a eliminare i file “Shadow” al primo avvio, e l’utente potrebbe addirittura non rendersi conto di quanto accade visto che gli eseguibili possono essere avviati senza l’intervento dell’operatore, come un qualsiasi processo di sistema.

Utilizzare un account standard invece di uno amministratore

Utilizzare un account con privilegi di amministratore di sistema è sempre un rischio per la sicurezza, perché così il malware può avviarsi usando i medesimi privilegi e infettare il sistema più facilmente. Assicurarsi che gli utenti usino sempre un account con privilegi limitati per le attività quotidiane e utilizzare l’account amministratore solo quando è assolutamente necessario. Non disabilitare il controllo account utente.

Porre attenzione alla formazione dei dipendenti sulla sicurezza

Uno dei più comuni vettori di infezione è l’ingegneria sociale, metodi basati sull’inganno per tentare di convincere gli utenti ad avviare file eseguibili. La corretta formazione dei dipendenti rappresenta un pilastro della sicurezza aziendale.

Infine, per qualsiasi chiarimento o per ottenere altri suggerimenti su come proteggere il sistema da ransomware come il Petya o il WannaCry, è possibile contattare direttamente il supporto ESET collegandosi alla seguente pagina Web:

Supporto Tecnico ESET