Guida su come proteggersi dal ransomware Petya / NotPetya su Windows ed altri computer

Il 27 Giugno 2017 è stato sferrato il secondo enorme attacco hacker utilizzando un ransomware. Ecco come difendersi da Petya o NotPetya

L’attacco hacker avvenuto il 27 giugno 2017 ha dimostrato, per la seconda volta in un mese, come le botnet siano pericolosissime e siccome dormienti sono difficili da scovare. Dunque dopo il ransomware Wannacry, questa volta è stata la volta di Petya.A, Petya.D o PetrWrap che in pratica è una variante di Wannacry che sfrutta la stessa vulnerabilità del precedente virus.

Petya ha fatto vittime in tutto il mondo anche se in Italia non si hanno notizie di aziende e computer presi in ostaggio.

Cosa fa Petya?

Petya, si prende possesso dei computer infettati e cripta tutti i file e per riaverli indietro si devono pagare 300 dollari in Bitcoin altrimenti non potremo riavere indietro i nostri file.

Microsoft rilasciò una patch di sicurezza per correggere il bug EternalBlu per Windows XP, Windows 8 e Windows Server 2003 mentre Windows 10 sembra immune poichè la patch è stata già rilasciata a Marzo 2017 per coprire anche la falla sfruttata da questo ransomware.

Ora andiamo a vedere come difenderci.

Come difendersi da Petya?

 

Per difendervi al meglio ovviamente dovete eseguire tutti gli aggiornamenti disponibili per il vostro sistema operativo ed aggiornare il software antivirus. Poi sul vostro PC Windows dovete disattivare SMBv1, bloccare il traffico SMB in ingresso sulla porta 445 aggiungendo una regola sul nostro router o sul firmware.

  • Blocco del protocollo SMB sul Server e Client
  • Disattivazione del protocollo SMB se non specificamente richiesto
  • Blocco su server e client del traffico diretto verso indirizzi ed URL indirizzati verso siti specializzati come AlienVault e US-CERT o altri simili
  • Riavviare PC spenti e scollegati dalla rete internet

Come disattivare SMBv1

Potete disattivare il Server Message Block (SMB) versione 1 (SMBv1), seguendo le istruzioni pubblicate sul sito di Microsoft che riassumiamo di seguito:

Come disattivare i protocolli SMB sul server SMB

Windows 8 e Windows Server 2012

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB1Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

Dopo aver apportato queste modifiche, è necessario riavviare il computer.
Editor del Registro di sistema

Per disattivare SMBv1 sul server SMB, configurare la seguente chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: SMB1

REG_DWORD: 0 = disattivato
REG_DWORD: 1 = attivato
Predefinito: 1 = attivato
Come disattivare i protocolli SMB sul client SMB su Windows Vista, Server 2008, 7, Server 2008 R2, 8 e Server 2012

Per disattivare SMBv1 nel client SMB, eseguire i seguenti comandi:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
SC.exe config mrxsmb10 start = disabled

LEAVE A REPLY

Please enter your comment!
Please enter your name here