È in corso un nuovo attacco ransomware in Europa

È in corso un nuovo attacco ransomware in Europa

È in corso un nuovo attacco ransomware in Europa

massiccia ondata di attacchi ransomware

il virus ha bloccato, banche, aeroporti

Da pochi minuti è in corso una nuova

massiccia ondata di attacchi ransomware in Europa

In queste prime fasi il paese maggiormente colpito è l’Ucraina

ma ci sono segnalazioni anche in Russia, Spagna, e di nuovo Gran Bretagna.

In Ucraina, in particolare, il virus ha bloccato pubblici esercizi

banche, aeroporti e metropolitane

sembra che ci siano disservizi anche per la fornitura di energia elettrica statale.

Negli altri paesi per ora ci sono segnalazioni di problemi

da parte di alcune compagnie private:

per esempio la multinazionale della pubblicità WPP

la produttrice di materiali edili francese Saint-Gobain

le russe Evraz e Rosneft e lo spedizioniere danese Moller-Maersk.

 

Tuttavia, il ransomware si basa su una variante di Petya

un virus che è in grado di criptare la tabella

MFT del filesystem NTFS di Windows

rendendo quindi inutilizzabile l’intero hard disk;

dopodiché sovrascrive il MBR con una nota

che spiega come pagare il riscatto e ottenere indietro i file.

È in corso un nuovo attacco ransomware in Europa

 

È in corso un nuovo attacco ransomware in Europa

 

Le informazioni sul veicolo di infezione non sono ancora del tutto certe

ma pare che si tratti di una combinazione di documenti Office

infetti inviati via mail e sfruttamento della vulnerabilità del protocollo SMBv1

(noto come EternalBlue, il tool realizzato dall’NSA alla base di WannaCry).

Per il momento non ci sono informazioni più dettagliate

su quali sistemi siano a rischio. Per ora l’unica misura di sicurezza

oltre ad avere un antivirus e un sistema aggiornato

 rimane disabilitare il protocollo SMBv1.

 

Inoltre, È sufficiente passare dalla pagina del pannello di controllo

relativa alle funzionalità aggiuntive di Windows

e rimuovere la voce Supporto per la condivisione

file SMB 1.0/CIFS.

Si può rimuovere con un semplice comando

anche da terminale PowerShell con privilegi elevati:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Un altro passaggio opzionale

ma utile specialmente in caso di sistemi che non possono essere aggiornati

con tempestività, è di inserire una regola nel proprio firewall

che blocchi ogni tipo di traffico sulla porta 445.

AMCOMPUTERS

[Voti: 1    Media Voto: 5/5]

Lascia un commento