Secondo quanto riportato dai ricercatori di ESET si starebbe diffondendo una variante Linux del ransomware KillDisk, noto per essere stato usato dal gruppo BlackEnergy nel corso di attacchi informatici in Ucraina nel 2015 e contro obiettivi finanziari a fine 2016.

Il malware impedirebbe l’avvio dei sistemi Linux, inclusi workstation e server, chiedendo in cambio un riscatto di 222 Bitcoin, pari a circa 185 mila dollari al cambio attuale. Pare però che le chiavi crittografiche non vengano registrate in alcun modo, e questo creerebbe problemi di decodifica anche qualora venisse pagato il riscatto.

killdisk

I ricercatori di ESET hanno individuato un modo per il recupero dei dati che sfrutta una falla del processo crittografico. Anche in questo caso, la società di software invita a non pagare mai il riscatto in caso di ransomware ma, piuttosto, di aggiornare sempre il proprio sistema di sicurezza con le ultime patch disponibili.

sharing-caring-1

Vi ricordiamo che seguirci è molto semplice: tramite la pagina Facebook ufficiale, tramite il nostro canale notizie Telegram e la nostra pagina Google Plus.

Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.

  • sinceramente non avvio mai software che non sia presente nei repo ufficiali, oppure se proprio un sw non è presente, lo prendo dal sito ufficiale, ma di certo non avvio mai software presi da chissà dove nel web.
    se uno è abituato ad installare/eseguire programmi che provengono da chissà dove, poi non deve certo lamentarsi se si ritrova il pc intasato di malware vari.
    e questo vale sia per windows, linux, mac, android, ios, e qualsiasi altro sistema operativo.
    bisogna sempre stare attenti a ciò che si installa, e su android (visto che lo store non è come i repository nelle distro linux) bisogna anche stare attenti alla spazzatura presente sullo store, se un’app torcia chiede permessi per accedere ai contatti, ai file multimediali, ecc… fatevi 2 domande, se un’app ha una descrizione in lingue incomprensibili, o semplicemente non ha una descrizione, fatevi 2 domande, se un’app ha una marea di recensioni negative, in cui dicono, “non è come nelle immagini”, “truffa”, “malware”, be fatevi 2 domande.
    ma se poi uno nonostante tutte le misure di sicurezza, installa comunque software a caso, be allora la colpa non è di windows/linux/mac/ecc… che sono insicuri, ma è colpa di chi usa il dispositivo che il massimo di tecnologia che dovrebbe usare è un televisore (e anche questo non è per tutti xD)

    • Simone Picciau

      Esatto!

    • Aster

      Beh sei un po “razzista” quando dici lingua incomprensibile;) dipende che lingue comprendi tu,uno del Suriname non può sviluppare niente??! Le tue regole vanno bene per il PC personale ma se sei a lavoro con altri o università o liceo o gruppo di studio non sei mai sicuro cosa fanno gli altri,quindi unica soluzione diversi backup in tempo diverso e dispositivi diversi

      • be oddio se presto il mio pc a qualcuno, non lo lascio certo smanettare, installare eseguire roba a caso senza che lo controllo.
        se sono al lavoro, be immagino che al lavoro uno non necessita di installarsi software da se (di certo non è un compito da persone che non ne sono capaci, mentre uno capace a cui viene lasciato libero accesso al suo pc di lavoro, immagino che sia consapevole che non deve installare roba a caso).
        i computer dell’università (o anche a scuola) solitamente sono tutti bloccati per impedirti di installare qualsiasi software, alcuni addirittura (per lo meno nella mia università è così), hanno la sessione linux temporanea, ovvero quando fai il logout o spegni/riavvii il pc, tutto ciò che hai fatto nella tua home sparisce, se hai scaricato un documento, cambiato sfondo creato un file di testo, una cartella, ecc.. tutto sparisce e torna come era prima, quindi anche in questo caso, se eseguissi il malware in questione, cripterebbe solo ciò per cui ha i permessi (ovvero la home visto che con i permessi utente non puoi toccare nulla al di fuori della tua home, e questo vale per qualsiasi distribuzione linux, e vale anche per windows), ovvero può criptare solo il contenuto della tua home, ma essendo vuota, non cripta un bel niente di utile.

        quindi ripeto, da parte mia, non mi preoccupo affatto, ne quando sono sotto linux ne quando sono sotto windows, e ne sotto android.
        per un pc personale, basta stare attenti e installare roba proveniente da fonti sicure, per un pc pubblico (università, scuola, lavoro, ecc..), il problema non sussiste perchè tanto spesso non ti viene proprio data la possibilità di utilizzare altri software, ne tantomeno installarli di nuovi

        • Aster

          Ma qui si parla che ce rischio anche di aprire un semplice allegato per e-mail cosa che fanno in molti e quando si hanno file condivisi in rete infetta tutti

          • Andrea

            gli allegati della mail tipo: è arrivato pacco per Lei da SDA e abbiamo visto che non ritirato da Lei, preghiamo pertanto che provvedere immediatamente a scaricare la lettera di spedizione per recuperare suo pacco e bla bla bla. a si certo bisogna essere proprio dei fe _ _ i

          • Aster

            Eh le ultime parole famose;)dillo a un utente del blog che ha perso tutto il lavoro dello studio di architettura per un e-mail aperto dalla segretaria che ha fatto pure la sincronizzazione con i backup;)

          • Andrea

            se di questo tipo, no comment

        • Dario · 753 a.C. .

          Cosa studi?

      • per quanto riguarda la lingua incomprensibile, non è questione di razzismo, ma è che se io sono italiano, e voglio che il mio software venga pubblicato sul playstore, deve essere comprensibile a tutti cosa fa, quindi come minimo devo fornire una descrizione in inglese perchè l’italiano è una lingua sconosciuta per la maggior parte del mondo.
        per questo ti dico che se trovi un’app con descrizione tutta in cinese, o arabo, oppure russo, o altre lingue al di fuori dell’inglese, io sinceramente non la installerei a prescindere.
        se scrivi una descrizione solo nella tua lingua sconosciuta, o non ti interessa farla avere al mondo intero (e allora per me che sono italiano non ha senso installare la “tua” applicazione cinese), oppure hai qualcosa da nascondere e quindi fai si che meno gente possibile capisca che c’è scritto (e magari ci sono immagini di un giochino interessante, con grafica curata, e che quindi attira molta utenza).

        • Aster

          Si parlava di PC o sono io che ho sbagliato articolo, fare app e un altre cosa

          • si ma avevo tirato in ballo anche android e ios, dicendo che anche li se uno va ad installare software presi da chissà dove o che comunque nel playstore hanno pessime recensioni e magari una descrizione in lingue incomprensibili, allora è ovvio che si può incorrere in malware

          • Aster

            OK capito

      • Emanuele Cavallaro

        In quel caso, ti basta creare dei normali user e l’account amministratore lasciarlo solo ai sistemisti per gli aggiornamenti vari e installazioni.

        Poi per avviare il software di criptazione, o della home, o file root, non importa, devi essere un utente privilegiato, quindi un user normale non può criptare nessun file.

        E poi, i file manager di tutte le distro, se fai doppio click sullo script, anche se gli hai dato i permessi di esecuzione, ti si apre il file di testo 😀 tranne che cambi il comportamento dalle impostazioni: visualizzarli, chiedi cosa fare, eseguirli, di default è su visualizzarli, io cambio sempre su: chiedi cosa fare.

        • Aster

          Non parliamo di aziende con reparto it tanto meno quelli che usano linux:)tutti sappiamo dei danni che hanno fatto i cryptolocker da singolo utente a altri,ci sono cose che a volte non puoi decidere tu,ne so qualcosa quando ero contrario a un gruppo di dropbox per appunti e esercizi e un bel giorno una ragazza ha cancellato 4 anni di appunti progetti ed esercizi di tre corsi di laurea diversi

        • Edoardo

          “Poi per avviare il software di criptazione, o della home, o file root, non importa, devi essere un utente privilegiato, quindi un user normale non può criptare nessun file.”

          Non è vero, prova a criptare un file con GPG, non hai bisogno di password, il programma viene eseguito con i privilegi del tuo utente quindi nulla gli impedisce di criptare i file della (tua) home.

  • Trovo discutibile il fatto che non si faccia minimamente menzione del metodo di infezione e di quali falle sfrutterebbe il virus per installarsi. Peccato, perché la notizia è girata qualche giorno fa e credevo che almeno LFFL si prendesse la briga di verificare e approfondire le notizie, invece si è semplicemente limitata a riportare parole di altri. Come quasi tutte le testate giornalistiche online, ultimamente.

    • noname

      lffl fa così da sempre, io lo seguo proprio perché è un aggregatore di notizie: comodo ma non certo originale

      • Andrea

        ci sono stati tempi migliori in cui le notizie avevano un minimo di approfondimento, adesso siamo proprio alla frutta

        • xatzafwk

          Conosci alternative anche in lingua inglese? 🙂

          • uno completissimo, diciamo che non è un semplice blog, è molto più di un blog che riporta delle notizie, quindi non la chiamerei proprio alternativa, anche perchè spesso ci sono tanti articolo tecnici che per chi non è sviluppatore o comunque molto informato, non può capire neanche di cosa parlano gli articolo.
            è phoronix (lo cito solo perchè non credo sia concorrenziale a lffl, sono troppo diversi come siti), e li trovi tutto quello che c’è da sapere su linux, mesa, driver, ramo git di kernel, mesa, ecc… insomma tutto quello che c’è da sapere sul mondo linux e del suo ecosistema, lo trovi li, ma è di difficile comprensione per un utente “medio”, non per il fatto che sia in inglese ma per il fatto che spesso ci sono articoli che parlano molto in linguaggio da sviluppatori.
            sennò alternative vere e proprio non è che ce ne siano tante.. ne italiani ne inglesi (o per lo meno non li conosco, anche omgubuntu non è che lo trovo chissà quanto ben fatto, sta calando anche lui di qualità)

          • xatzafwk

            Thanks! Phoronix lo conoscevo già ed effettivamente è un piccola bibbia (a modo suo!) del mondo linux…pensavo a qualcosa più come questo sito con notizie ed approfondimenti

      • “da sempre”
        non proprio.
        quando lo gestiva roberto, c’erano anche notizie originali, e comunque molte di quelle prese da altre fonti venivano approfondite maggiormente.

        • Dario · 753 a.C. .

          Vero! Bei tempi quando c’era Roberto. Gli articoli senza punteggiatura, ma erano completie ben fatti. Anche molto interessanti.

          Qualche volta Roberto mi ha aiutato anche via email con problemi in Linux

    • un software del genere non ha bisogno di falle per agire.
      per esempio (cosa motlo banale e semplice), se io faccio uno script in cui metto

      rm -rf ~/

      e tu lo esegui, ti ritrovi la home completamente pulita, questo potrebbe essere considerato un “malware”, in quanto sostanzialmente è un software “malevolo” che ti cancella file personali.
      se allo stesso modo io distribuisco un software che al suo interno ha un codice del genere (molto banalmente giusto per rendere l’idea)

      software_per_criptare ~/

      in cui “software_per_criptare” è incluso nel binario/eseguibile che tu hai scaricato ed avviato
      lui ti cifra tutta la home rendendoti impossibile l’accesso, ma non ha bisogno di una falla, perchè sei stato tu a lanciarlo.
      sfrutterebbe una falla solo se per esempio tu navighi su internet e senza eseguire nulla, ti ritrovi la home cifrata.

      • Questo scenario è chiaro. Ma chiunque guarderebbe uno script prima di eseguirlo, soprattutto se lo ricevo da internet e mi chiede permessi di superutente per toccare il bootloader, non credi? Di fronte alla stupidità umana non c’è strumento di sicurezza che tenga. E comunque le tue sono supposizioni, perché l’articolo non dice come viene eseguito il codice.

        • ma lo script è un esempio banale, ma se io ti fornisco un .run o un .exe che quindi non puoi curiosare dentro ai sorgenti, e fa le stesse identiche cose, lo chiamo (per esempio) google chrome e lo pubblico online.
          arriva un tizio qualunque lo scarica credendo che è il browser chrome, e quando lo avvia si trova (poi magari chrome si avvia veramente per non destar sospetti) l’hdd che inizia a lavorare, la cpu maggiormente sotto stress, e dopo un po gli esce un bel messaggio di ricatto.

          lo scritp era un esempio banalissimo, ma ciò che io metto in uno script, te lo posso mettere in un binario, e a quel punto tu non puoi leggere cosa fa, se poi come ti ho detto, prendo un altro software famoso e conosciuto da tutti, e lo modifico andandoci ad aggiungere la parte malevola che ti cifra l’hdd, a quel punto l’utente ignaro non può fare nulla

          • Anche io una volta ho ricevuto un virus per Linux. Mi scriveva (per email) Red Hat per dirmi che aveva trovato un bug nei binari “ls” e “mkdir” e che mi allegava due binari zippati da sostituire a quelli di sistema. Peccato che non abbia mai installato in vita mia sistemi RedHat, che mi aspetto che un problema del genere sia fixato via normali aggiornamenti e che ls e mkdir sono programmi che sono in giro da 70 anni senza grosse modifiche né bug. Quindi? Quindi se non usi il cervello ti meriti che la gente ti disfi il computer.

      • Andrea De Gradi

        Ti dimentichi del root, per criptare l’hard disk e inserire un messaggio custom nel boot loader bisogna essere root.

        I cracker in questione non sono stati bravi a trovare il modo di criptare un’hard disk (operazione al giorno d’oggi abbastanza banale), ma a far si che questa operazione venisse eseguita da aziende disposte a pagare anche 222 btc per il restore!

        Un’azienda che ha così tanti soldi si spera che abbia provato a proteggere decentemente i suoi sistemi, la domanda di Emiliano è: cosa ha sbagliato? Non ha comperato l’antivirus prodotto da ESET?

        • si per modificare il grub hai bisogno dei permessi di root, ma per me un software del genere se mi corrompe la partizione di root non fa alcun danno, quella la formatto senza alcun pensiero… il vero problema sono i file personali non quelli di sistema, e per i file personali non hai bisogno dei permessi di root

        • Simone

          La stragrande maggioranza degli attacchi di successo alle grandi aziende sono portati attraverso il social engineering. Quando hai a che fare con migliaia di collaboratori esterni da ogni parte del mondo la tua attenzione tende a calare perché sei abituato a ricevere mail da qualche tizio con nome assurdo dal sud-est asiatico piuttosto che da qualche altro paese sperduto. E questi applicano tecniche spesso anche molto raffinate, si inseriscono nel tessuto dell’azienda per mesi e a volte anche anni, fino a colpire. A volte sono addirittura infiltrati, cioè persone che si fanno assumere e lavorano in azienda per il tempo necessario proprio con lo scopo di commettere crimini.

      • Luciano Buffo

        Uno sei un idiota se lanci uno script allegato, due è impossibile senza root seguito da password. È un tantino diverso da winzoz mi sa di bufala

        • concordo sull’idiota, e concordo anche che senza root non può modificare il grub, ma comunque senza root può benissimo cifrarti tutti i tuoi file nella home

  • 222btc

    • sabayonino

      si si certo. ma se hai un pc (server o pc aziendali ??? ) con dati importanti che valgono molto di più (dati di clienti etc..) , tutto quell’hardware nuovo lo puoi usare come soprammobile…

    • Pietro Petruzzelli

      quello che ci salva è il backup.. solo il backup..
      puoi avere il computer più potente del mondo, ed io con il mio 486 mi salvo..

    • Simone

      Con quella cifra affitto un sicario e mi faccio portare la testa del pirata informatico. -.-‘

  • Maurizio Tosetti

    Scusate ma il virus l’ha scoperto Eset, casa produttrice di Nod 32 antivirus. Mi viene da pensare che sia una trovata pubblicitaria.

    • Aster

      eset e sempre al avanguardia nel settore,non credo abbia bisogno di questo

      • Maurizio Tosetti

        Si Nod32 e’ un ottimo antivirus su Windows. E’ possibile che Eset voglia conquistare un segmento come Linux in cui e’ difficile aver virus.

        • Aster

          Non credo visto le quote,molto meglio puntare su android

  • rico

    Avvio una chiavetta con Linux Live, apro Gparted e piallo la partizione infetta, in ext4.
    Reinstallo il sistema, riavvio, poi copio i miei files dalla chiavetta di backup.
    Con chi credono di avere a che fare, con winari sprovveduti? Kill your sista, killbill.

    • ma il problema è che se ti cifrano i tuoi dati personali, puoi formattare quanto ti pare ma se non ti sei fatto un backup puoi salutarli per sempre.
      non è questione di piallare la partizione infetta.. anche un utente linux lo sa fare, il problema è che ti vengono cifrati i file personali, quindi l’unica prevenzione (oltre ovviamente ad avere il comportamento che ho scritto nel commento sotto) è fare backup periodici così che se uno viene infettato può formattare senza pensieri e senza paura di perdere i dati.

      • Dario · 753 a.C. .

        Beh se non fai backup dei un cogli0ne. Io faccio i backup su due hard disk esterni. Su uno ogni settimana e sull’altro ogni mese

        • rico

          Io invece su chiavetta USB 32 GB, ogni settimana. Ovvio che non li copio tutti, solo quelli di cui non posso fare a meno, o che possono servirmi in futuro.
          A un certo punto una scrematura la devi fare… ?

          • Dario · 753 a.C. .

            a me non piace fare scremature, ho 2 HDD da 1TB l’uno e ci copio dentro la home para para senza levare nulla

          • idem, ho un hdd da 500GB sul mio notebook, ho smontato il vecchio notebook, preso il suo hdd da 500GB e messo in un box usb3-sata, ogni qualche mese prendo la home e copio pari pari tutto quanto (con usb 3 in una mezzoretta copia tutto, se invece al posto di sovrascrivere i dati esistenti copio solo quelli nuovi, ci mette molto meno).

          • Dario · 753 a.C. .

            Io una volta con git feci il repo nella home, cancellando il repo avevo cancellato mezza home. Fortuna che faccio i backup ogni settimana su un hard disk e ogni mese sull’altro. Mi ha salvato!

          • luX0r.reload

            E’ il metodo più “spartano” ma anche il più sicuro.
            Se ogni settimana hai da copiare una mole di dati non indifferente ti consiglio però di utilizzare rsync invece di fare la semplice copia. In questo modo sul dispositivo di backup vengono aggiunti/aggiornati solo i file che sono stati aggiunti e aggiornati dall’ultimo backup.

          • Dario · 753 a.C. .

            Sì grazie così infatti faccio

    • Pietro Petruzzelli

      allora non hai capito niente…
      ti sembra così banale la cosa ?

    • Matteo Gatti

      i tuoi dati restano cifrati e inutilizzabili però 😀

  • Aury88

    tempo fa ho ricevuto una mail che affermava che un pacco per me era in attesa alle poste e che ogni giorno di ritardo nel ritirarlo mi sarebbe costato diverse decine di euro…avrei dovuto scaricare un allegato in cui si diceva era inserito il codice per ritirare il pacco
    La mail era ben fatta con loghi e colori ufficiali dell’azienda da cui asseriva provenire la stessa e in un italiano corretto. un’altra cosa strana era l’indirizzo mail del mittente che era una PEC, ma non una pec normale ad-hoc dell’azienda come ci si aspetterebbe dai grandi nomi, ma una di quelle dei servizi che “affittano” caselle pec.
    Morale della favola ho usato il metodo più sicuro che conoscevo: ho avviato una live ubuntu e da li ho provato a scaricare il pacchetto tramite FF… non sono mia riuscito ad aprirlo…il firefox vecchio di 6 mesi aveva riconosciuto il contenuto del zip come un malware e mi ha bloccato il download…

    Per un eventuale prossima volta volevo chiedere se conoscevate altre metodologie ancora più sicure di quella banale usata da me?
    grazie!

    • gabriele tesio

      penso che usare una macchina virtuale sia una tra le cose più sicure che si possa fare, gli dai giusto quanto spazio basta a farlo funzionare, e poi li fai tutte le prove che vuoi, se ti cancella dati, cripta il file system o qualsiasi altra cosa dannosa, cancelli la macchina virtuale, reinstalli, e sei a psoto.

      • Aury88

        ma quindi tramite una live può potenzialmente ancora criptare un filesystem ancora non montato?

        • gabriele tesio

          Questo non so dirtelo, ma so che da una live posso accedere al file system del pc, mentre da una macchina virtuale non posso interagire coi dati esterni dall’interno di essa, solo il contrario (a meno che non ci siano falle nel programma di virtualizzazione o tecniche particolari di cui io non sono a conoscenza). In linea di massima direi comunque che una VM é più sicura di una live.

No more articles