Passa ai contenuti principali

Come proteggere il PC da WannaCry, le cose da fare

Cosa fare per proteggere il computer da WannaCry per mettere il PC Windows in sicurezza da questo ransomware
WannaCry è l'ormai noto ransomware che lo scorso venerdì ha attaccato oltre 230.000 PC Windows in più di 150 nazioni criptando i file in essi contenuti e chiedendo poi alle vittime il pagamento di un riscatto di 300 dollari per ottenere la chiave di decrittazione con la quale poter riavere accesso ai file sequestrati. Se non si paga entro tre giorni il riscatto raddoppia; se non si paga entro sette giorni i file andranno persi per sempre con ovvie conseguenze.

Di recente abbiamo già visto la breve guida a WannaCry, ma adesso, dato che è stata individuata una sua nuova variante più ostica della prima, a seguire andremo a vedere più nel dettaglio le cose da fare per proteggere il computer Windows dall'attacco di WannaCry.

LEGGI ANCHE: Sapere se il PC è vulnerabile al virus WannaCry

Nello specifico gli interventi da mettere in atto (oltre a tenere aggiornato il programma antivirus installato nel PC) sono i seguenti:
  • Installare l'aggiornamento Windows Update Microsoft Security Bulletin MS17-010
  • Bloccare la porta TCP e UDP 445 con Windows Firewall
  • Disattivare il protocollo SMB 1.0 (Server Message Block)
LEGGI ANCHE: Recuperare i file criptati da WannaCry su Windows 7, XP e altri

Installare l'aggiornamento Windows Update Microsoft Security Bulletin MS17-010
Come spiegato nella breve guida a WannaCry sopra linkata, la protezione contro gli attacchi da parte di questo ransomware era già disponibile dallo scorso Marzo come aggiornamento di sicurezza rilasciato in Windows Update da Microsoft dopo che la NSA gli fece presente del furto, da parte di cybercriminali, della tecnica di sfruttamento dell'exploit del protocollo SMB 1.0 dei sistemi operativi Windows, che la stessa NSA utilizzava per spiare i computer dei terroristi e presunti tali.

Dunque la prima cosa da fare è di portarsi in Windows Update, avviare la ricerca degli aggiornamenti dopodiché installare tutti quelli importanti disponibili, in modo particolare quello che mette in sicurezza il sistema da parte dell'attacco di WannaCry, aggiornamento fra l'altro scaricabile anche manualmente da questa pagina di Technet.Microsoft e in via straordinaria, vista la massiccia diffusione del ransomware, disponibile su questa pagina del Microsoft Update Catalog anche per il non più supportato Windows XP.

Bloccare la porta TCP e UDP 445 con Windows Firewall o equivalente
L'installazione dell'aggiornamento Windows Update in questione dovrebbe bastare a proteggere il computer. Però dato che WannaCry per infettare il PC sfrutta l'exploit del protocollo di condivisione SMB 1.0, e dato che quest'ultimo fa uso della porta 445, per maggiore sicurezza è dunque consigliabile bloccare le connessioni in entrata e in uscita su questa porta in maniera tale che il ransomware non si propaghi su gli altri PC Windows collegati alla medesima rete.

1. Su Windows Aprire il Panello di controllo facendo prima un clic destro sul tasto Start e poi nel menu contestuale cliccando la voce "Pannello di controllo" e qui portarsi in Sistema e sicurezza > Windows Firewall.

2. Nella finestra Windows Firewall che verrà visualizzata, nel menu a colonna a sinistra cliccare il link "Impostazioni avanzate" per aprire la finestra "Windows Firewall con sicurezza avanzata".

3. Nella finestra "Windows Firewall con sicurezza avanzata" come nell'esempio sotto in figura:
Windows Firewall procedura per bloccare porta 445 contro WannaCry
nella colonna al lato sinistro con un clic selezionare la voce "Regole connessioni in entrata" e nella colonna al lato destro cliccare la voce "Nuova regola..." per aprire la finestra "Creazione guidata nuova regola connessioni in entrata" nella quale in ordine procedere come segue:
  • Nella prima schermata "Selezionare il tipo di regola che si desidera creare" spuntare l'opzione "Porta" e confermare cliccando il pulsante "Avanti";
  • Nella seconda schermata "Selezionare se applicare la regola al protocollo TCP o UDP" selezionare le opzioni "TCP" e "Porte locali specifiche" e nel campo di inserimento di quest'ultima digitare "445" e confermare cliccando il pulsante "Avanti";
  • Nella terza schermata "Selezionare l'azione desiderata per le connessioni che soddisfano le condizioni specificate" selezionare l'opzione "Blocca la connessione" e confermare cliccando il pulsante "Avanti";
  • Nella quarta schermata "Selezionare il tipo di applicazione della regola" selezionare le tre opzioni "Dominio/Privato/Pubblico" e confermare cliccando il pulsante "Avanti";
  • Nella quinta e ultima schermata "Selezionare il nome e la descrizione della regola" in "Nome" digitare "445" e facoltativamente in "Descrizione" scrivere una frase descrittiva circa la regola. Confermare il tutto e creare la regola cliccando il pulsante "Fine".
La regola è stata così creata, però solo per bloccare le connessioni in entrata sulla porta TCP 445. Adesso infatti è necessario creare la regola per le connessioni in uscita sulla porta UDP 445.

Dunque tornati alla finestra "Windows Firewall con sicurezza avanzata" questa volta nella colonna al lato sinistro con un clic selezionare la voce "Regole connessioni in uscita" e nella colonna al lato destro cliccare la voce "Nuova regola..." per aprire la finestra "Creazione guidata nuova regola connessioni in uscita". Non resta che seguire la procedura elencata sopra per la porta TCP, ma nella seconda schermata "Selezionare se applicare la regola al protocollo TCP o UDP" selezionare l'opzione "UDP" invece che "TCP".

Disattivare il protocollo SMB 1.0 (Server Message Block)
Come detto in apertura, SMB 1.0 o SMBv1 è un protocollo da Windows usato per condividere file, stampanti, porte seriali tra i PC collegati alla rete locale. Protocollo superato dalle successive versioni SMBv2 e SMBv3, e sfruttato da WannaCry per sferrare l'attacco al sistema. È quindi consigliabile disattivare tale protocollo; vediamo come.

Su Windows 10, dove il protocollo SMB 1.0 è abilitato di default, portarsi in in Pannello di controllo > Programmi > Programmi e funzionalità > Attiva o disattiva funzionalità di Windows e nella finestra "Funzionalità Windows" che verrà visualizzata (come nell'esempio sotto in figura):
Disattivare protocollo SMB 1 da Funzionalità Windows contro WannaCry
individuare e deselezionare la voce "Supporto per condivisione file SMB 1.0/CIFS", deselezionarla e confermare cliccando il pulsante "OK". Dopo qualche secondo di elaborazione verrà chiesto di riavviare il computer per applicare la modifica; dunque riavviato il PC il protocollo SMB 1.0 sarà ora disattivato.

Per disattivare SMB 1.0 sulle versioni precedenti di Windows seguire queste indicazioni riportate sul sito Support di Microsoft.

Va ricordato che la prevenzione è sempre la migliore arma di protezione non solo contro il ransomware WannaCry ma in generale da parte di tutti i virus e malware in generale sui quali è possibile imbattersi al PC; ovvero:
  • Fare il backup dei dati su una memoria esterna, costantemente almeno per quelli più importanti così da poterli ripristinare in caso di attacco da parte di ransomware (al termine della creazione del backup è bene scollegare il supporto di memoria dal computer in maniera tale che in caso di attacco da ransomware non venga anch'esso infettato;
  • Utilizzare un buon programma antivirus in grado di proteggere il sistema anche dai ransomware, e mai disattivare le funzioni euristiche dell'antivirus in quanto possono bloccare le infezioni da parte di ransomware non ancora noti;
  • Tenere aggiornato il sistema operativo e tutti i programmi installati sul computer in quanto gli aggiornamenti di versione fra le altre cose portano le riparazioni alle eventuali falle di sicurezza presenti nelle precedenti release;
  • Non fidarsi di nessuno ovvero non aprire email da parte di destinatari sconosciuti e soprattutto non cliccare i link al loro interno, né scaricare e aprire gli allegati in quanto i ransomware nella maggior parte dei casi si diffondono attraverso la corrispondenza email. In caso di email sospette evitare di interagirci anche se sono state inviate da un conoscente in quanto il suo indirizzo email e il nostro potrebbero essere stati ricavati e/o rubati da una mailing list poi utilizzata dai cybercriminali per la diffusione del loro ransomware.
  • Nelle opzioni cartella di Windows attivare l'opzione per mostrare le estensioni dei file così da individuare più facilmente i file potenzialmente dannosi.
  • Se si scopre un intruso o un processo sconosciuto sul proprio computer allora scollegarlo immediatamente da internet o da altre connessioni di rete (come quella domestica Wi-Fi) per impedire la diffusione dell'infezione.
LEGGI ANCHE: Programmi gratis contro i ransomware su Windows

Commenti

  1. Buongiorno, ho Windows 10 e lo aggiorno costantemente ma non mi risulta di aver mai installato l'aggiornamento Windows Update Microsoft Security Bulletin MS17-010.
    Nella cronologia aggiornamenti riesco a vedere solo gli aggiornamenti riusciti (e non) dell'ultimo mese.
    C'e' un modo per verificare se questo aggiornamento è installato o è sicuro che l'ho installato dato che non sono presenti ulteriori aggiornamenti di Windows?

    RispondiElimina
    Risposte
    1. Come indicato nell'articolo l'aggiornamento di può scaricare manualmente da qui:

      https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

      Qui è spigato come vedere gli aggiornamenti installati:

      http://www.guidami.info/2016/12/windows-10-sapere-aggiornamento-installato.html

      Elimina

Posta un commento

I commenti prima di essere pubblicati verranno moderati dall'amministratore

Post più popolari dell'ultima settimana

Attenti alla Pulizia disco di Windows 10 v1809: può cancellare i file dalla cartella Download

La Pulizia disco è uno strumento integrato in Windows, attraverso il quale è possibile liberare spazio di archiviazione cancellando file temporanei, delle precedenti installazioni del sistema operativo, dal Cestino e via dicendo.

Su Windows 10 con l'aggiornamento October 2018 Update, a tale strumento è stata aggiunta la nuova opzione di pulizia "Download" la quale permette di cancellare il contenuto di tale cartella.

Per impostazione predefinita l'opzione "Download" è deselezionata, e quando si vuole eseguire la pulizia disco è necessario assicurarsi che non sia selezionata nel caso in cui si volesse impedire che i file scaricati da internet vengano cancellati da questa directory.

Come negli esempi sopra in figura, l'opzione di pulizia della cartella "Download" si trova sia nella versione classica dello strumento Pulizia disco (che si esegue portandosi in "Questo PC", facendo poi un clic destro sul "Disco locale (C:)", nel …

Attivare SwiftKey su Windows 10 per suggerimenti testo mentre si digita e correzioni automatiche

Su Windows 10 October 2018 Update ha debuttato SwiftKey, ovvero la tastiera intelligente di Microsoft, tra le più scaricate e usate a livello globale su smartphone e tablet, tant'è che su diversi nuovi dispositivi è preinstallata.

Successo dovuto al fatto che la tastiera SwiftKey apprende lo stile di scrittura dell'utente, il quale può quindi digitare più velocemente e accuratamente con le previsioni e le correzioni, comprese le parole, le frasi e le emoji.

Windows 10 aggiornato a October 2018 Update offre nativamente la tastiera SwiftKey con le medesime caratteristiche che l'hanno resa famosa su mobile, ovvero apprendimento dello stile di scrittura per una digitazione più rapida e accurata, anche con la tastiera hardware non solo quella su schermo e/o touchscreen.

Per utilizzare questa tastiera è prima necessario attivare SwiftKey portandosi in menu Start > Impostazioni > Dispositivi > Digitazione e qui come nell'esempio sotto in figura:
sia per la tastiera s…

Sapere se la scheda video è falsa con GPU-Z

L'ultima versione di GPU-Z, uno fra i migliori programmi per vedere le caratteristiche della GPU, su PC Windows, dispone di una nuova funzione che è in grado di scoprire se la scheda video del computer è falsa o meno.
Tale caratteristica arriva in seguito a diversi episodi di schede video false vendute su internet, manipolate a livello BIOS in maniera tale che una volta montate appaiano ciò che non sono, ovvero più potenti e performanti di ciò che sono in realtà; così una scheda video GeForce GTX 1060 venduta a un prezzo vantaggioso si è rivelata essere una GeForce GTS 450 decisamente più economica a livello di prezzo e prestazioni.
GPU-Z al momento è in grado di rilevare le versioni false delle seguenti schede video G84, G86, G92, G94, G96, GT215, GT216, GT218, GF108, GF106, GF114, GF116, GF119, GK106; rilevatore che dovrebbe arricchirsi del supporto di ulteriori modelli con le prossime release del software.
Per verificare se la scheda video montata nel computer è un fake o meno,…