Cosa è successo?
Molte grandi organizzazioni hanno riportato un’infezione simultaneamente. Tra queste diversi ospedali britannici che hanno dovuto sospendere le loro operazioni. Secondo i dati diffusi da terzi, WannaCry ha infettato più di 100.000 computer. Il numero totale di infezioni è una delle ragioni principali per cui ha attirato tanta attenzione.Il maggior numero di attacchi si è verificato in Russia, ma l’Ucraina, l’India e Taiwan hanno subito molti danni a causa di WannaCry. Solo il primo giorno dell’attacco, WannaCry è stato individuato in 74 paesi.
Che cosa è WannaCry?
In generale, WannaCry viene in due parti. In primo luogo, è un exploit il cui scopo è l’infezione e la propagazione. La seconda parte è un encryptor che viene scaricato su un computer dopo che è stato infettato. La prima parte è la principale differenza tra WannaCry e la maggior parte degli encryptor. Per infettare un computer con unencryptor comune, un utente deve commettere un errore, ad esempio facendo clic su un collegamento sospetto, che consente a Word di eseguire una macro dannosa o di scaricare un allegato sospetto da un messaggio di posta elettronica. Invece in questo caso un sistema può essere infettato da WannaCry senza che l’utente faccia nulla.
WannaCry: sfruttamento e propagazione
I creatori di WannaCry hanno sfruttato l’exploit di Windows conosciuto come EternalBlue, che si basa su una vulnerabilità che Microsoft ha fissato nell’aggiornamento della protezione MS17-010 del 14 marzo di quest’anno. Utilizzando l’exploit, i malfattori potrebbero avere accesso remoto ai computer e installare il crittografo.
Se è stato installato l’aggiornamento, questa vulnerabilità non esiste più per te e i tentatvi di eseguire l’ hacking da remoto del computer tramite la vulnerabilità non andranno a buon fine. Tuttavia, i ricercatori del GReAT (Global Research & Analysis Team) di Kaspersky Lab hanno sottolineato che la patch di vulnerabilità non ostacola completamente l’encryptor. Pertanto, se lo si lancia in qualche modo (vedi quanto sopra per fare un errore), allora quella patch non sarà stata comunque efficace.
Dopo aver eseguito un hacking su un computer, WannaCry tenta di diffondersi sulla rete locale su altri computer, come un worm di computer. L’encryptor esegue la scansione di altri computer per la stessa vulnerabilità che può essere sfruttata con l’aiuto di EternalBlue e quando WannaCry trova una macchina vulnerabile, attacca la macchina e cripta i file su di esso.
Infatti, infettando un computer, WannaCry può infettare un’intera rete locale e crittografare tutti i computer della rete. Ecco perché soprattutto le grandi aziende hanno sofferto l’attacco WannaCry – più computer in rete, maggiore è il danno.
WannaCry: Encryptor
Come encryptor WannaCry (a volte chiamato WCrypt o, senza motivo, WannaCry Decryptor) si comporta come qualsiasi altro encryptor; cripta i file su un computer e richiede il riscatto per decifrarli. Assomiglia molto a una variante del famigerato Trojan CryptXXX.WannaCry cripta file di diversi tipi (l’elenco completo è qui) compresi documenti d’ufficio, immagini, video, archivi e altri formati di file che potrebbero contenere dati sensibili dell’utente. Le estensioni dei file crittografati vengono rinominati .WCRY e i file diventano completamente inaccessibili.
Dopo di che, il Trojan modifica il wallpaper del desktop con un’immagine che contiene informazioni sull’infezione e sulle azioni che l’utente deve eseguire per recuperare i file. WannaCry diffonde le notifiche come file di testo con le stesse informazioni in tutte le cartelle del computer per assicurarsi che l’utente riceva il messaggio.
Come al solito, le azioni comportano il trasferimento di una certa somma di denaro, in bitcoins, al portafoglio degli autori. Dopo di ciò, dicono decripteranno tutti i file. Inizialmente, i criminali informatici richiedevano $ 300, ma poi hanno alzato gli importi a $ 600.
In questo caso, anche i malfattori tentano di intimidire le vittime affermando che l’importo del riscatto sarà aumentato in tre giorni – e, inoltre, che dopo sette giorni i file saranno impossibili da decriptare.
Come sempre, è sconsigliato di pagare il riscatto. Forse il motivo più convincente per non pagare è che non c’è alcuna garanzia che i criminali decifrino i file dopo aver ricevuto il riscatto. Di fatto, i ricercatori hanno dimostrato che altri cyberestortorsori talvolta eliminano semplicemente i dati degli utenti.
Come una registrazione di un dominio ha sospeso l’infezione – ma perché probabilmente non è ancora finita
È interessante notare che un giovanissimo ricercatore di nome Malwaretech è riuscito a sospendere l’infezione registrando un dominio con un nome lungo e assurdo.
Si è scoperto che alcune versioni di WannaCry hanno affrontato quel dominio, e se non hanno ricevuto una risposta positiva, allora installerebbero l’encryptor e inizierebbero il loro lavoro sporco. Se ci fosse una risposta (cioè se il dominio era stato registrato), il malware avrebbe interrotto tutte le sue attività.
Dopo aver trovato il riferimento a questo dominio nel codice Trojan, il ricercatore ha registrato il dominio, sospendendo così l’attacco. Nel resto della giornata, il dominio è stato affrontato decine di migliaia di volte, il che significa che decine di migliaia di computer sono stati risparmiati.
C’è una teoria che questa funzionalità è stata incorporata in WannaCry – come un interruttore automatico – nel caso in cui qualcosa fosse andato storto. Un’altra teoria, abbracciata dal ricercatore stesso, è che è un modo per complicare l’analisi del comportamento del malware. Gli ambienti di prova utilizzati nella ricerca sono spesso progettati in modo che qualsiasi dominio restituisca una risposta positiva; In questi casi, il Trojan non avrebbe fatto nulla nell’ambiente di test.
Purtroppo, per le nuove versioni del Trojan, tutti cio che i criminali devono fare è cambiare il nome del dominio indicato come “interruttore automatico” e le infezioni riprenderanno. Pertanto, è molto probabile che l’episodio WannaCry continuerà.
Come difendersi contro WannaCry
Purtroppo, attualmente non c’è modo di decrittare i file che sono stati criptati da WannaCry . Per ora la prevenzione è l’unica speranza.
Ecco alcuni consigli su come prevenire l’infezione e ridurre al minimo i danni.
- Se nel sistema è già installata una soluzione di protezione Antivirus, è consigliabile eseguire quanto segue: eseguire manualmente una scansione per aree critiche, rimuoverlo e riavviare il sistema.
- Installare gli aggiornamenti software. Questo caso richiede disperatamente che tutti gli utenti di Windows installino l’aggiornamento della protezione del sistema MS17-010. Microsoft ha anche rilasciato per sistemi che non sono più ufficialmente supportati, ad esempio Windows XP o Windows 2003. Installala subito; è molto importante.
- Fare regolarmente i backup dei file e memorizzare le copie sui dispositivi di archiviazione non costantemente connessi al computer.
Nessun commento:
Posta un commento