Virus WannaCry cos'è e come proteggere il PC (breve guida)

Cos'è WannaCry, cosa fa e come proteggersi da questo ransomware che ha infettato centinaia di migliaia di PC in tutto il mondo

L'appena trascorso fine settimana è stato interessato da un attacco informatico a livello mondiale attraverso il ransomware WannaCry (letteralmente "Vuoi piangere", noto anche come WanaCrypt0r 2.0 e WCry) che ad oggi ha infettato oltre 230.000 PC Windows in più di 150 Paesi mietendo vittime illustri quali il servizio sanitario nazionale del Regno Unito, la società spagnola di telecomunicazioni Telefónica, la società di logistica FedEx, aziende, ospedali, università e tanti altri enti pubblici ancora oltreché privati cittadini.

WannaCry, come tutti i ransomware, una volta penetrato nel computer cripta tutti i file in memoria chiedendo poi all'utente vittima di pagare un riscatto di 300 dollari (in Bitcoin) per ottenere la chiave di decriptazione con la quale riavere nuovamente accesso ai file i quali diversamente andranno perduti. Vediamo un po' di capire meglio la situazione.
WannaCry
Da cosa è originato WannaCry?
La NSA (National Security Agency) da tempo aveva scoperto e sfruttato l'exploit di SMB 1.0 dei sistemi operativi Windows (ovvero un protocollo usato per condividere file, stampanti, porte seriali tra i PC collegati alla rete locale) a cui è stato dato il nome in codice Eternal Blue, attraverso il quale spiava i computer dei terroristi. Successivamente un gruppo di cybercriminali (cracker e non hacker) chiamato Shadow Brokers è riuscito a sottrarre tali informazioni "segrete" alla NSA sviluppando così il ransomware WannaCry per sfruttare l'exploit in questione al fine di infettare un enorme numero di PC su scala planetaria.

Al momento pare che si è riuscito a rallentare l'infezione (grazie alla scoperta di un ricercatore indipendente), ma ciò non toglie che i cybercriminali possano dare vita a una nuova versione del ransomware in grado di aggirare il blocco.

AGGIORNAMENTO 16/05/2017: È già stata rilevata una nuova variante di WannaCry che non può essere fermata come la precedente. C'è da aspettarsi una seconda ondata, ma ci si può mettere al sicuro se si seguono le indicazioni qui sotto indicate in "Ci si può proteggere da WannaCry?".

Come si viene infettati da WannaCry e che cosa fa?
L'infezione WannaCry avviene dunque attraverso la rete sfruttando le connessioni in entrata e in uscita sulla porta 445 impiegata dall'insicuro protocollo di condivisione SMB 1.0 (al momento infatti pare che questo ransomware, a differenza di altri, non venga contratto via allegato email infetto ma ad ogni modo è bene non abbassare la guardia stando attenti a non aprire allegati sospetti nella propria casella di posta elettronica).

Una volta infettati WannaCry entra in azione criptando tutti i file del computer rendendoli inaccessibili fino a che non si pagherà il riscatto di 300 dollari entro tre giorni dall'inizio dell'infezione, dopodiché l'ammontare verrà raddoppiato a 600 dollari e infine se non si è pagato entro il settimo giorno i file allora andranno persi per sempre.

Quali versioni di Windows sono vulnerabili?
Windows XP, Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 e R2, Windows 10, Windows Server 2016.

Ci si può proteggere da WannaCry?
Assolutamente si. Basti pensare che per evitare l'infezione WannaCry è sufficiente installare sul PC Windows gli appositi aggiornamenti di sicurezza Windows Update rilasciati da Microsoft già lo scorso Marzo, in quanto la NSA aveva precedentemente informato l'azienda del furto delle tecniche di sfruttamento dell'exploit Eternal Blue da parte di cybercriminali.

GUIDA: Come proteggere il PC da WannaCry, le cose da fare

Dunque se non si è stati colpiti da WannaCry è di vitale importanza cercare e installare tutti gli aggiornamenti "Importanti" presenti in Windows Update oltreché evitare di aprire gli allegati di email inviate da parte di sconosciuti e/o sospette. In modo particolare si deve installare l'aggiornamento MS17-010 scaricabile anche manualmente da questa pagina di Technet.Microsoft.

La massiccia diffusione di WannaCry e il suo ovvio enorme impatto mediatico ha portato Microsoft a rilasciare anche per Windows XP l'aggiornamento di sicurezza (si scarica da questa pagina del Microsoft Update Catalog) nonostante il supporto per tale sistema operativo è terminato ad Aprile 2014 (ad ogni modo Windows XP è ancora oggi il terzo SO desktop più diffuso al mondo).

Inoltre è necessario disattivare SMB 1.0 (un protocollo usato per condividere file, stampanti, porte seriali tra i PC collegati alla rete locale) che su Windows 10 è abilitato di default, in maniera tale che WannaCry non si propaghi anche sugli altri PC.
Per disattivare SMB 1.0 portarsi in Pannello di controllo > Programmi > Programmi e funzionalità > Attiva o disattiva funzionalità di Windows e nella finestra "Funzionalità di Windows" che comparirà individuare, deselezionare SMB 1.0/CIFS File Sharing Support quindi confermare.

Infine, attraverso Windows Firewall, si dovranno bloccare le connessioni in entrata e in uscita sulla porta 445, impiegata dal protocollo SMB 1.0 e dunque a sua volta anche da WannaCry.

Il mio PC è stato infettato da WannaCry. Che posso fare?
Se si è provveduto a effettuare un backup su una memoria esterna allora basterà effettuare da li il ripristino, dopodiché come prima cosa cercare e installare tutti gli aggiornamenti importanti presenti in Windows Update e disattivare SMB 1.0.

Se non si è provveduto a effettuare il backup si può tentare il recupero dei file criptati decriptandoli con i due strumenti gratuiti WannaKey e WannaKiwi. È inoltre bene tenere sotto controllo il portale No More Ransomware fondato da Kaspersky, Intel Security, Politie (Polizia Olandese) che offre strumenti per decriptare i file presi in ostaggio da svariati ransomware (anche se al momento non da WannaCry, ma è possibile che lo sia nei prossimi giorni a seconda dell'evolversi della situazione).

Come mi difendo da WannaCry e altri ransomware?
Per evitare di cadere vittima non solo dei ransomware ma di qualsiasi altro virus o malware, le linee guida da seguire sono sempre le stesse ma fondamentali, ovvero:
  • Fare il backup dei dati, su una memoria esterna, costantemente almeno per quelli più importanti così da poterli ripristinare in caso di attacco da parte di ransomware (al termine della creazione del backup è bene scollegare il supporto di memoria dal computer in maniera tale che in caso di attacco da ransomware non venga anch'esso infettato;
  • Utilizzare un buon programma antivirus in grado di proteggere il sistema anche dai ransomware, e mai disattivare le funzioni euristiche dell'antivirus in quanto possono bloccare le infezioni da parte di ransomware non ancora noti;
  • Tenere aggiornato il sistema operativo e tutti i programmi installati sul computer in quanto gli aggiornamenti di versione fra le altre cose portano le riparazioni alle eventuali falle di sicurezza presenti nelle precedenti release;
  • Non fidarsi di nessuno ovvero non aprire email da parte di destinatari sconosciuti e soprattutto non cliccare i link al loro interno, né scaricare e aprire gli allegati in quanto i ransomware nella maggior parte dei casi si diffondono attraverso la corrispondenza email. In caso di email sospette evitare di interagirci anche se sono state inviate da un conoscente in quanto il suo indirizzo email e il nostro potrebbero essere stati ricavati e/o rubati da una mailing list poi utilizzata dai cybercriminali per la diffusione del loro ransomware.
  • Nelle opzioni cartella di Windows attivare l'opzione per mostrare le estensioni dei file così da individuare più facilmente i file potenzialmente dannosi.
  • Se si scopre un intruso o un processo sconosciuto sul proprio computer allora scollegarlo immediatamente da internet o da altre connessioni di rete (come quella domestica Wi-Fi) per impedire la diffusione dell'infezione.
LEGGI ANCHE: Programmi gratis contro i ransomware su Windows

Per ulteriori, più tecniche e dettagliate informazioni consultare questa pagina di Microsoft TechNet.

2 commenti

Guida veramente completa, aggiungo solo di STACCARE il supporto fisico del backup (USB esterno, chiavetta o scheda SD) non appena terminata la copia dei file.
Un supporto collegato al PC è un supporto infettabile.

Rispondi

Giusta osservazione. L'avevo dato per scontato. Articolo aggiornato ;)

Rispondi

Posta un commento

I commenti verranno moderati prima di essere pubblicati