Mischa: il nuovo amico di Petya e nemico per il resto del mondo

Il nuovo installer ransomware Petya ora include un altro ransomware che lo completa.

Petya e Mischa sono amici. A loro piace fare tutto insieme, sono inseparabili…

Aspettate un attimo… No, non si tratta di una favola! Questo è Kaspesky Daily. Petya e Mischa sono due ransomware, progettati per colpire gli utenti in una sola mossa.

mischa-ransomware-featured

Se seguite sempre il nostro blog o rimanete sempre informati sulle principali notizie di sicurezza informatica, probabilmente conoscete già Petya. A questo ransomware abbiamo già dedicato due post separati, perché un paio di settimane dopo l’apparizione di Petya l’utente di Twitter @leo_and_stone ha scoperto il decryptor di Petya.

Petya si è distinto dagli altri ransomware non solo perché criptava certi tipi di file, ma anche perché era in grado di rendere illeggibile l’intero hard disk di un computer, criptando la sua tabella file master. Per questa ragione, ogni utente che cadeva vittima di Petya aveva bisogno di un altro PC per poter pagar il riscatto. Ebbene, dopo che leo_and_stone ha creato il tool crittografico, le vittime di Petya avevano ancora bisogno di un altro PC, ma in questo caso era per decriptare i propri file senza pagare il riscatto.

L‘incontro con Mischa

Petya aveva una debolezza. Per fare quello che faceva, Petya aveva bisogno dei privilegi di accesso di root. A meno che l’utente non cliccasse sul bottone “sì”, concedendo al ransomware questi privilegi, Petya non poteva mettere in pericolo il computer della vittima. Quindi i creatori di Petya hanno deciso di rimediare aggiungendo a Petya un altro ransomware, uno dal nome che potrebbe sembrare russo, come Mischa.

Sono due le differenze principali tra Petya e Mischa. Petya vi priva del vostro intero hard disk, mentre Mischa cripta solo certi tipi di file e questa è probabilmente la buona notizia. La brutta notizia è che a differenza di Petya, Mischa non richiede i privilegi di accesso come Amministratore. Sembra proprio che i loro creatori abbiano pensato che Petya e Mischa si sarebbero complementati alla perfezione.

Mischa assomiglia di più a un comune ransomware, di quelli che ogni tanto ci spuntano fuori sullo schermo e ci infastidiscono. Usa lo standard crittografico AES per criptare i file dato sul vostro computer. Come viene descritto in questo articolo del blog “Bleeping Computer”, il ransomware aggiunge un’estensione di 4 caratteri ai file criptati di modo che, per esempio, test.txt si trasforma in test.txt.7GP3.

La lista dei tipi di file preferiti da Mischa è piuttosto lunga. Essa esclude i file .exe, il che significa che Mischa impedisce agli utenti di lanciare quasi qualsiasi programma. Ad ogni modo, mentre cripta, Mischa salta, evitando, la cartella di Windows e quelle dei browser istallati. Una volta fatto quello che doveva fare, Mischa crea per l’utente due file con le istruzioni per il pagamento: YOUR_FILES_ARE_ENCRYPTED.HTML e YOUR_FILES_ARE_ENCRYPTED.TXT.

Petya e Mischa si diffondono via email di phishing spacciandosi per un modulo per inviare domande di lavoro. Quando Misha fu scoperto, si trovava all’interno di un file chiamato PDFBewerbungsmappe.exe (in italiano, PDF documenti per domanda di lavoro). L’uso della lingua tedesca nel nome del file e il modo in cui il ransomware è stato diffuso indica che il suo obiettivo principale erano aziende il cui veicolo linguistico era il tedesco.

Quando un utente cerca di aprire il file .exe che contiene sia Mischa e Petya, appare la finestra di Controllo Account Utente che chiede all’utente se vuole concedere i privilegi di accesso amministrativi al programma. Questo è uno di quei momenti spiacevoli quando entrambe le scelte sono pessime. Se l’utente sceglie “Sì”, Petya verrà installato. Se si seleziona “No” si installerà Mischa.

Mischa sembra persino peggiore di Petya: richiede un riscatto di circa 1,93 bitcoin (ovvero circa 775€). Petya chiedeva 0,9 bitcoin.

Un dato divertente (se mai ci possa essere qualcosa di divertente in un ransomware): Petya è un nome russo e anche Mischa lo sembra, ma in realtà non lo è. Un russo userebbe la parola Misha senza la “c” nel mezzo – è piuttosto strana quella “c”!

Sfortunatamente, non esiste ancora uno strumento di decrittazione per Mischa. Ne esiste uno per Petya, ma avviarlo richiede un PC di riserva e un po’ di abilità tecnica.

Quindi per evitare di cader vittima di Petya o Mischa, o qualsiasi altro ransomware Vasya, SuperCrypt, El Rapto, ecc., seguite i seguenti consigli.

  1. Realizzate frequenti backup. Fatelo con frequenza e in modo diligente. Se avete appena realizzato un backup di tutti i vostri dati potete mandare il ransomware a quel paese…. o ovunque voi vogliate.
  1. Non fidatevi di nessuno e rimanete sempre informati. Un modulo per inviare la domanda per un posto di lavoro con una estensione .exe? Mmm, è piuttosto sospetto. Non lo aprite! Meglio prevenire che curare!
  2. Installate una buona soluzione di sicurezza. Kaspersky Internet Security offre una protezione multi-livello e non permetterà a Mischa o ad altri ransomware di farla franca.

Kaspersky Internet Security ha un componente anti-spam che vi protegge dallo spam e dalle email di phishing. L’anti-virus individua Mischa e Petya, anche noti come Trojan-Ransom.Win32.Mikhail e Trojan-Ransom.Win32.Petr, e li elimina. Il modulo System Watcher individua le attività sospette (per esempio, i tentativi di criptare i file) e le blocca. Kaspersky Total Security unisce tutte queste funzionalità, oltre a uno speciale tool per creare backup automatici.

Consigli