Gli sviluppatori di Petya ne rilasciano la master key

Gli sviluppatori di Petya ne rilasciano la master key

Janus Cybercrime Solutions, gruppo di cracker che ha sviluppato Petya, ha rilasciato la chiave primaria del suo ransomware ad un anno di distanza dalle prime infezioni e dopo un paio di settimane dall'avvento di ExPetr.

di Riccardo Robecchi pubblicata il , alle 09:41 nel canale Sicurezza
 

Gli sviluppatori di Petya, un gruppo chiamato Janus Cybercrime Solutions, hanno rilasciato la chiave primaria (master key) per decifrare i file sui computer attaccati da Petya. A distanza di un anno circa dall'infezione, quindi, gli sviluppatori hanno deciso di rendere possibile il recupero dei dati alle vittime che ancora non hanno pagato la somma richiesta.

Qui si trova il primo problema: l'attacco è avvenuto lo scorso anno e molte delle vittime hanno già provveduto a eliminare i dati, convinte dell'impossibilità di recuperarli. Il secondo problema è che la chiave è valida soltanto per alcune specifiche varianti di Petya, dunque non sarà possibile recuperare i dati in tutti i casi.

La chiave rilasciata non ha a che fare con l'infezione arrivata due settimane fa in Ucraina: tale attacco infatti ha fatto uso di ExPetr (o NotPetya), slegato da Petya. Come si è appreso, ExPetr è un attacco di Stato mascherato da ransomware che cancella i dati, senza possibilità di recuperarli.

Potrebbe essere stato proprio il rilascio di ExPetr a far decidere il gruppo Janus Cybercrime Solutions di rilasciare la chiave del loro ransomware, per eliminare qualunque collegamento tra i due software.

Con i ransomware che acquisiscono sempre più rilevanza, arrivano anche le prime richieste di creare legislazioni che impongano l'uso di backup e di misure di sicurezza più strette per evitare i problemi verificatisi anche in strutture fondamentali come ospedali e centrali nucleari. Difficile stimare quanto l'intervento legislativo potrebbe però impattare sulle (cattive) abitudini di singoli e organizzazioni.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
jepessen11 Luglio 2017, 09:58 #1
A livello casalingo volevo giusto dire che quando si fanno i backup, poi e' meglio smontare i dispositivi, come I dischi USB e le unita' di rete dove si salvano i files...

Se uno viene attaccato da un ramsonware, cripta tutte le unita' che trova, quindi anche quelle montate, rendendo i backup inutili..

Giusto un suggerimento...
demon7711 Luglio 2017, 10:07 #2
Originariamente inviato da: jepessen
A livello casalingo volevo giusto dire che quando si fanno i backup, poi e' meglio smontare i dispositivi, come I dischi USB e le unita' di rete dove si salvano i files...

Se uno viene attaccato da un ramsonware, cripta tutte le unita' che trova, quindi anche quelle montate, rendendo i backup inutili..

Giusto un suggerimento...


Avere le unità di backup staccate ed indipendenti è una regola d'oro.
in una piccola rete per ufficio invece un buona soluzione è impostare il nas o il pc dedicato al backup in modo che sia accessibile in sola lettura. Per fare il backup l'ordine parte diretamte dalla macchina che ospita il backup.
Cos' se parte un ransomware che ammazza tutti i pc la macchina dedicata ai backup resta salva perchè non accessibile in scrittura.
andbad11 Luglio 2017, 11:28 #3
Sono abbastanza tranquillo con la mia politica di backup.
Ho un NAS con due dischi in RAID1, più un backup su un disco locale più un backup continuo in cloud (con 5 versioni di storico). In più, una volta al mese circa, faccio il sync del NAS con un terzo disco che poi smonto e lascio offline.
Certo, possono criptare i dati su PC, male che vada mi tocca formattare windows e reinstallare (cosa che comunque male non fa).

By(t)e
elgabro.11 Luglio 2017, 11:50 #4
Originariamente inviato da: andbad
Sono abbastanza tranquillo con la mia politica di backup.
Ho un NAS con due dischi in RAID1, più un backup su un disco locale più un backup continuo in cloud (con 5 versioni di storico). In più, una volta al mese circa, faccio il sync del NAS con un terzo disco che poi smonto e lascio offline.
Certo, possono criptare i dati su PC, male che vada mi tocca formattare windows e reinstallare (cosa che comunque male non fa).

By(t)e


direi che sei a posto
Piedone111311 Luglio 2017, 11:52 #5
Originariamente inviato da: andbad
Sono abbastanza tranquillo con la mia politica di backup.
Ho un NAS con due dischi in RAID1, più un backup su un disco locale più un backup continuo in cloud (con 5 versioni di storico). In più, una volta al mese circa, faccio il sync del NAS con un terzo disco che poi smonto e lascio offline.
Certo, possono criptare i dati su PC, male che vada mi tocca formattare windows e reinstallare (cosa che comunque male non fa).

By(t)e


In tutte le piccole aziende aggiungo un nas ftp protetto da password e credo di essere apposto (le unità non sono montate in smb, quindi non accessibili da rete).
Quando attaccheranno anche i dati in ftp faro un filezilla server che effettuerà i backup la notte su ogni singola macchina accendendola attraverso il whol.
Quando anche questa sarà inutile credo che ormai ci saranno poche speranze di salvare i dati con un backup.
Zenida12 Luglio 2017, 17:59 #6
In ufficio ho configurato il NAS con SMB (non ho scelto FTP perchè è più lento).
Nessuno dei PC conosce le credenziali del NAS, neppure il server.
L'unico software che ha quelle credenziali è Acronis True Image installato sul server.
Faccio 2 backup al giorno, uno su un secondo disco interno al Server stesso (se dovesse servire un backup al di fuori di un attacco ransomware è sempre più veloce) e uno sul NAS.

Tutte le volte che devo accedere al NAS lo faccio sempre senza salvare le credenziali da browser. Ogni tanto lo faccio anche da rete di windows, ma se dovesse partire un'infezione (difficile dato che sono l'unico admin di windows) dovrebbe partire proprio a causa mia.

Cmq la maggior parte dei ransomware attacca dei file specifici (pdf, documenti vari, multimedia, ecc). Non attaccano indiscriminatamente qualsiasi file. Questo perchè altrimenti rischierebbe di compromettere il sistema rendendolo inaccessibile e dunque non potrebbe avere la possibilità di mostrare il suo minaccioso messaggio (salvo installare un bootloader custom con avvio di un sottosistema dedicato)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^