Wannacry - TECHFIVE | Soluzioni Informatiche

Wannacry – allerta Ransomware.

Software

Wannacry, chiamato anche WanaCrypt0r 2.0, è un virus di tipo Ransomware creato dal gruppo The Shadow Brokers e responsabile dell’ epidemia su larga scala avvenuta nel mese di maggio 2017.

I malintenzionati non hanno organizzato alcun attacco, ma hanno invece disseminato a pioggia una serie di trappole in cui è caduto chi ha commesso almeno due gravi errori e vanno commessi entrambi gli errori, perché uno solo non basta:

  • non aver installato la patch MS17-10 diramata nel mese di marzo;
  • nel caso in cui il proprio sistema sia vulnerabile, l’apertura di un file contenente il codice maligno di Wannacry e l’improvviso click su un apposito link che ne consente l’installazione.

Per disseminare queste “trappole” si sfrutta un meccanismo noto da sempre: email contenenti un codice maligno in allegato, a cui si può fare accedere la vittima con vari stratagemmi. Soltanto cadendo in questa trappola, e soltanto se il proprio sistema è predisposto ad essere attaccato (in conseguenza di un mancato aggiornamento), allora si diventa vittime di Wannacry e altri malware di simile natura.

La comparsa del ransomware in un dato momento e su molti pc offre l’impressione di un attacco coordinato e centralizzato, ma in realtà la diffusione ed il meccanismo dimostrano come la realtà sia differente. Fino a prova contraria, insomma, l’obiettivo finale era semplicemente il lucro, a prescindere da quale fosse la vittima disposta a pagare il riscatto.

L’errore più grave è nel chiamare “hacker” chi hacker non è. Un malware che si autoinstalla, mette sotto sequestro dei file e quindi chiede un riscatto per liberarli, non può infatti essere frutto di una mera azione di ricerca: in modo del tutto evidente c’è la ricerca di un lucro, anche al costo di un danno altrui, il che si prefigura quindi come lo scenario di una azione “cracker”.

Il codice dell’attacco sarebbe direttamente derivato da un codice sviluppato dalla NSA per monitorare eventuali sospettati di terrorismo internazionale. Un codice di questo tipo può dunque fungere da vera e propria spia all’interno dei pc, spesso e volentieri nella piena inconsapevolezza dell’utente. Una volta installato il malware, si diventa marionette nelle mani dei malfattori. Ad un dato momento il ransomware fa scattare i propri lucchetti e da quel momento in poi si è in fase di emergenza, impossibilitati ad utilizzare il pc e privi dei propri file. Tutti i file presenti sul computer vengono criptati e a tutti viene aggiunta l’estensione .wcry. Vengono eliminate le copie di sicurezza del sistema operativo presenti nelle partizioni nascoste, così da impedire il ripristino. Il pc mostra solo e unicamente il messaggio con la richiesta di riscatto.

Per liberare i file dal lucchetto di Wannacry è necessario pagare una somma pari a 300 dollari. Tale somma va però pagata in Bitcoin, grazie a questa procedura riescono a rimanere anonimi e non debbono gestire nel mondo fisico un flusso di denaro che sarebbe altrimenti tracciato .

La prima versione di Wannacry poteva essere spenta. La scoperta è avvenuta “per caso” grazie ad un ricercatore che ha immediatamente notificato quanto scoperto, provvedendo affinché il danno potesse essere limitato. Ora però il malware si sta già moltiplicando con modalità nuove e senza paracaduti: il pericolo continuerà a moltiplicarsi e soltanto la diffusione del “vaccino” della patch può mettere tutti al sicuro. A tal proposito va segnalato come Microsoft con uno sforzo supplementare abbia diramato aggiornamenti anche per le vecchie versioni di Windows.

La prevenzione rimane comunque l’unica vera soluzione:

  • Eseguire sempre un Back-up completo dei vostri file più importanti, meglio se mantenete le copie su due dispositivi differenti come cloud e dischi USB;
  • Utilizzate software antivirus robusti – E’ importante Non disattivate le funzioni “euristiche” in grado di intercettare nuove minacce prima della loro diffusione;
  • Mantenete aggiornato tutto il software sul vostro computer, in primis il sistema operativo.
  • Non fidatevi di nessuno, specialmente in rete;
  • Consentite l’opzione ‘Mostra estensioni file’ nelle impostazioni Windows sul vostro computer. Questo vi consentirà di individuare più facilmente i file potenzialmente maligni. Tenete lontane le estensioni file del tipo ‘.exe’, ‘.vbs’ and ‘.scr’. I criminali possono usare varie estensioni per nascondere un file maligno quale un video, una foto o un documento (come hot-chics.avi.exe or doc.scr).
  • Se scoprite un processo sospetto o sconosciuto sul vostro computer, disconnettetelo immediatamente da internet o da altre connessioni di rete in modo da non consentirne la diffusione!

Attenzione, gli attacchi che potrebbero partire dal prossimo giugno, ha dichiarato il gruppo di Shadow Brokers, saranno in grado di colpire il sistema internazionale di trasferimento di denaro SWIFT ma anche quelli che gestiscono i programmi nucleari e missilistici di Russia, Cina, Iran e Corea del Nord, con conseguenze catastrofiche per l’intero pianeta.

 

Informazioni, consigli e strumenti di decriptazione disponibili sul sito del progetto No More Ransom!

Riguardo l'Autore