Wannacry: cos’è e come funziona

Tradotto in italiano è “voglio piangere”, di raro un nome è stato più appropriato. Wannacry (noto anche come Wannacrypt), soprannome del malware “Wannacryptor 2.0”.

E’ un terribile virus ransomware segnalato per la prima volta a febbraio 2017 e balzato agli onori della cronaca per aver piegato migliaia di dispositivi di istituzioni e società sia pubbliche sia private in oltre cento paesi nel mondo, Italia inclusa, dove la parola di ricerca wannacry italia è diventata, in breve tempo, tra le più ricercate sul web, portando nelle tasche dei criminali informatici molta notorietà (con l’inevitabile, conseguente rischio di emulazione) e, soprattutto, tanto denaro. Un’infezione globale estesa, wannacry, che ha ben pochi precedenti.

Già, perché per sbloccare i computer, i pirati informatici hanno richiesto un pagamento in bitcoin, la moneta virtuale in sostanza impossibile da tracciare, pari a 300 dollari. Una somma di per sé non elevata, ma moltiplicata per le decine di migliaia di attacchi wannacry già avvenuti, è arrivata a generare una cifra davvero mostruosa. Gli attacchi cibernetici sono cresciuti costantemente nel corso degli ultimi anni, ma in questo caso si è trattato di uno dei più grandi e capillari attacchi ransomware dal principio della diffusione dei ransomware stessi, che tra l’altro ha colpito i sistemi di numerosi centri ospedalieri. Wannacrypt è differente e più pericoloso rispetto ad altri malware perché punta immediatamente ai file personali. Una volta diffuso questo tipo di attacco wannacry, che avviene sempre a causa dell’imperizia di utenti che non riconoscono una mail phishing e premono su qualsiasi tipo di link gli venga indicato, non c’è scampo. Come ha fatto Wannacrypt a infettare migliaia di computer? Proprio come appena detto.

wannacry riscatto

CARATTERISTICHE WANNACRY

Il ransomware è un malware in grado di bloccare e infettare il computer oppure di criptare i dati all’interno di esso. In che modo? Convertendo i file in una forma illeggibile per l’utente. Fatto ciò, viene imposto un riscatto alla vittima per riattivare il corretto funzionamento del dispositivo in questione. Partendo da un ipotetico titolo, Wannacry, tutto quello che c’è da sapere, occorre subito precisare che Wannacry, malware della categoria ransomware, si caratterizza per due aspetti (aggressività della falla sfruttata e scala dell’attacco stesso) e si compone di due parti: il ransomware vero e proprio (come abbiamo già visto) e un worm Smb (Server message block), ovvero un worm eseguibile che esegue una scansione online in cerca di server Windows che abbiano la porta Samba TCP 445 accessibile. Il virus informatico wannacrypt era già stato individuato nella sua fase embrionale ma, non sembrando poter fare affidamento su una rete di diffusione tanto capillare (come poi si è rivelata), gli effetti di questo attacco virus su larga scala sono stati sottovalutati.

Wannacry, come funziona? In principio Wannacry ha sfruttato una falla Smb (Server message block) presente all’interno di Windows Xp. La base di partenza utilizzata dai programmatori del ransomware sarebbe stata messa a disposizione dal gruppo di hacker “The Shadow Brokers”, che ha rilasciato online, con tutte le indicazioni su come sfruttarlo su larga scala, un corposo archivio contenente gli strumenti di hacking sviluppati e utilizzati dalla National Security Agency (Agenzia per la Sicurezza Nazionale americana) per infiltrarsi all’interno dei dispositivi di soggetti a rischio. Con quale obiettivo? Monitorare i trasferimenti di denaro riconducibili a organizzazioni criminali e/o terroristiche.

DIFFUSIONE RANSOMWARE WANNACRY

La modalità di diffusione di Wannacry, avvenuta mantenendo un basso profilo informatico, ha fatto sì che molti antivirus abbiano impiegato parecchio tempo per individuare questo software malevolo, favorendone, seppur in modo indiretto, la sua propagazione. Ma quali sono i sistemi in pericolo e in che modo ci si può difendere dal malware e dai successivi attacchi che potrebbero sfruttare la stessa falla di sicurezza?

Iniziamo col sottolineare che la forza di questo virus risiede nel fatto che riesce a colpire una vulnerabilità dei sistemi Windows. La vulnerabilità è stata riconosciuta “critica” (per questo motivo al massimo livello di allerta) dalla stessa Microsoft, che ha rilasciato l’apposita patch, quella identificata come MS17-010. La patch MS17-010 per Windows XP (wannacrypt windows x), Windows Server 2003 e Windows 8, tutti sistemi operativi non più supportati da Microsoft ma, considerata la serietà del problema di sicurezza che ha portato veloce diffusione del ransomware Wannacry, la società fondata da Bill Gates e da Paul Allen ha rilasciato anche gli aggiornamenti per i sistemi Windows ormai abbandonati (wannacrypt microsoft patch), è scaricabile e installabile manualmente da questo link. Allo stesso tempo, per avere una panoramica completa e più esaustiva, Microsft ha pubblicato una guida cliente per l’attacco Wannacrypt.

COSA FARE CONTRO WANNACRY

Come proteggersi da Wannacrypt? Chi ha subito l’infezione del proprio pc può soltanto aspettare una soluzione (essendo un ransomware recente, ancora non esiste un tool “ad hoc” per la rimozione e la decrittazione dei file) oppure ripristinare i file nel caso in cui sia attivo un meccanismo regolare di backup sicuro. Chi non ha ancora subìto l’infezione, invece, deve correre ai ripari, innanzitutto “tappando” la falla Smb di cui si è scritto sopra e, più in generale seguire alcuni semplici, ma importanti, consigli per proteggere il computer dai malware:

Come scaricare manualmente un aggiornamento di Windows: per chi utilizza Windows il primo passo è verificare di avere installato gli aggiornamenti di sicurezza più recenti: di solito, Microsoft mette in rete un aggiornamento di questo tipo ogni mese, consentendo di mettere al riparo il suo sistema operativo dalle ultime falle scoperte. Per verificare di avere il computer aggiornato occorre andare su Start > Impostazioni > Aggiornamento di sicurezza > Windows Update >Verifica disponibilità aggiornamenti (il percorso può variare in base alla versione di Windows, se non lo si trova si può ricorrere alla funzione “Cerca” digitando “Windows Update”).

Come attivare gli aggiornamenti automatici di Windows: occorre sottolineare che Windows può essere impostato per aggiornarsi in modo autonomo quando Microsoft rilascia nuovi aggiornamenti. Anche in questo caso, l’opzione per gli aggiornamenti automatici di Windows (che varia, seppur di poco, a seconda delle versioni) si imposta sempre dalla sezione “Windows Update” (se sul computer non sono mai stati disattivati è probabile che l’opzione sia già selezionata).

Antivirus per pc, quale scegliere? I migliori antivirus a pagamento è contraddistinto da un sistema di individuazione comportamentale, in grado di analizzare la condotta di ogni file presente nel sistema, nonché di bloccare, e mettere in quarantena, quei file che mostrano comportamenti imprevisti oppure nocivi. Esse Effe Security, assistenza computer Roma sud, consiglia il passaggio ad una soluzione che preveda questa caratteristica come l’antivirus QUICK HEAL. Per saperne di più il consiglio è quello di contattarci oppure venirci a trovare in negozio (i riferimenti sono su questa pagina). Come centro di assistenza pc Roma sud sapremo consigliare la migliore soluzione antivirus.

Trackbacks and pingbacks

    No trackback or pingback available for this article.

    2 comments

    1. Ti ringrazio, ciao

      Rispondi
    2. Grazie per l'informazione;io ho un WINDOW 10 DA POCHI GIORNI perché in quello vecchio si era bruciata LA SCHEDA MADRE ,ma non l'hard disk;penso che sia aggiornato ed appena posso controllo.

      Rispondi

    INVIA MESSAGGIO