Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

I ransomware che infettano l'MBR: un'analisi dei Quick Heal Security Labs
- GIOVEDÌ 17 MAGGIO 2018


La maggior parte dei ransomware, finalizzati a ricattare un utente per estorcergli un riscatto in cripto valuta, si limitano a criptare i file o, talvolta, a bloccare lo schermo. C'è però un'altra tipologia di ransomware, quella che infetta l'MBR (il Master Boot Record) e impedisce al sistema operativo di eseguirsi. Se il sistema operativo non può avviarsi infatti, nessun antivirus né tool anti ransomware può lavorare per risolvere l'infezione: capostipite di questa generazione di ransomware è stato Petya, ma quest'anno se n'è osservata una crescita esponenziale. L'infezione dell'MBR rende l'attacco molto più profondo e rischioso, sottraendo completamente al controllo dell'utente la macchina bersaglio: solitamente questo tipo di ransomware sovrascrive l'MBR originale con il proprio codice dannoso, dopodiché riavvia il sistema affinché l'infezione sia effettiva. Quando il sistema si riavvia, l'utente viene immediatamente bloccato e il ransomware visualizza la nota di riscatto. 

Master Boot Record
Il Master Boot Record (MBR) è un programma leggero che si esegue ogni volta che si avvia (boot) il computer, persino prima che il sistema operativo venga caricato. E' usato come processo di startup e contiene le informazioni sulle partizioni avviabili. L'MBR risiede nel primo settore dell'hard disk. 

Sequenza di boot del sistema operativo


Il BIOS prova a leggere il primo settore fisico, l'MBR appunto, dal dispositivo di boot. Se non viene trovato l'MBR, viene mostrato un messaggio di errore. Dato che l'MBR si esegue ogni volta che viene acceso il computer, una infezione dell'MBR può essere estremamente rischiosa.

Recentemente i Quick Heal Security Labs hanno analizzato vari ransomware che infettano l'MBR: eccone alcuni.

Ransomware Annabelle
Il ransomware Annabelle infetta l'MBR per prendere in ostaggio il computer, ma solo "alla fine": prima fa "di tutto" per rovinare il sistema infetto. Cripta tutti i file presenti sulla macchina e ne modifica l'estensione in .annabelle, quindi tenta di disabilitare il firewall, termina una lunga lista di processi  tra i quali i software di sicurezza e sovrascrive l'intero codice dell'MBR. Distrugge quindi ogni hard disk connesso al sistema. Inoltre si "auto aggiunge" al registro per eseguirsi automaticamente quando un utente esegue il login in Windows. Dopo aver infettato l'hard disk, richiama la funzione RtlSetProcessIsCritical, che imposta i processi in uno status critico di sistema. Come risultato verrà terminato anche Windows. Infine richiama shutdown.exe con i parametri -r -f -t 0 per riavviare il sistema: -r è usato per il completo shutdown e riavvio del sistema mentre -t forza le applicazioni in esecuzione per chiuderle senza che l'utente venga avvisato. Dopo il riavvio del sistema, viene mostrata la nota di riscatto, con tanto di countdown, che richiede circa 0,1 Bitcoin. 


Se l'utente non paga il riscatto entro il termine stabilito e mostrato sullo schermo dal Ransomware, lo schermo cambierà ancora come mostrato sotto e l'utente verrà "chiuso fuori" dal sistema operativo. A questo punto avviene la sostituzione dell'MBR e il sistema sarà inutilizzabile. Appare chiaro che questo ransomware ha l'intento di distruggere completamente il sistema nel caso in cui l'utente si rifiuti di pagare il riscatto.


MBRLock Ransomware
MBRLocker, conosciuto anche come DexLocker, è stato individuato nel Febbraio 2018. Questo ransomware sabota l'MBR del computer della vittima quindi richiede un riscatto di 30 YUAN prima dell'avvio di Windows. Questo malware è compilato in C++. Una volta eseguito, prova a leggere il drive fisico usando la funzione createfile API, quindi ne ottiene l'accesso. A questo punto sostituisce il codice nell'MBR: sposta l'MBR pulito in un altro settore dell'hard disk, quindi mette il codice dannoso nell'MBR originale facendo si che, in qualsiasi momento il sistema venga avviato, sarà il codice dannoso ad eseguirsi per primo. Sostituito l'MBR, il malware chiama ExitWindowEx API  per riavviare il sistema. Al riavvio viene mostrata l'immagine di riscatto sottostante. 


Il malware non consente all'utente di eseguire il login al sistema finché non viene pagato il riscatto. Pagato l'ammontare, l'attaccante dovrebbe inviare all'utente una password per lo sblocco dello schermo: tentativi di brute-forcing della stessa hanno avuto comunque esito positivo. Inserire la password nello schermo bloccato attiverà la funzione di ripristino del ransomware stesso: l'MBR salvato nel settore alternativo dell'hard disk verrà ripristinato e lo schermo sbloccato. Nel caso in esempio (vedi foto sotto), l'MBR originale è ospitato nel settore 3 e viene sovrascritto, al posto del codice dannoso, nel settore 1. 


Il ransomware MBRLock è piuttosto semplice da risolvere, ma non è sempre così: nel caso del ransomware Annabelle, che distrugge ogni hard disk, non c'è modo, per l'utente, di avviare il sistema correttamente. Altri ransomware che infettano l'MBR sono: KillDiskFake, DiskWriter e Uselessdik. 

Misure di prevenzione
  • Alterare l'MBR e altri settori dell'hard disk richiede privilegi avanzati. Ciò significa che un utente può efficacemente evitare infezioni di questo tipo semplicemente riducendo il livello di privilegio del proprio account e aumentando il livello di sicurezza nel sistema. Basterà usare, per l'uso quotidiano, un account non admin (usando l'account Admin sono quando realmente necessario) per ridurre il rischio di infezioni di questo tipo. 
  • Evita il clic su link e allegati email sospetti.
  • Applica le ultime patch di sicurezza per risolvere le vulnerabilità di Windows così da diminuire le possibili vie di accesso al tuo sistema per gli attaccanti. 
  • Raccomandiamo di tenere aggiornati i software di sicurezza e antivirus. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 29 NOVEMBRE 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login