❓Cos'è un RANSOMWARE?
Un Ransomware è un codice software dannoso o malware che infetta i dispositivi elettronici (Computer, Tablet e Smartphone) utilizzando le stesse tecniche di diffusione dei virus biologici.Il suo scopo è quello di limitare l'accesso, o persino impedire l'uso del dispositivo solitamente crittografando tutti i documenti le foto e i files contenuti. Successivamente il ransomware mostra all'utente una richiesta di riscatto promettendogli di dare nuovamente accesso ai suoi dati, e costringendolo a pagare una somma di denaro attraverso strumenti di pagamento online o crittovalute virtuali (come i Bitcoin) non tracciabili e vincolando il pagamento entro pochissime ore dall'infezione.
Le modalità di diffusione sono principalmente le seguenti:
- Visitare siti Web fasulli, insicuri o sospetti.
- Aprire messaggi di posta elettronica e allegati provenienti da persone sconosciute.
- Cliccare su link dannosi o non validi contenuti nei messaggi di posta elettronica, o nei post dei social network come Facebook, Twitter, ecc. o nelle chat di messaggistica immediata, come Skype, WhatsApp, Messenger, ecc.
Spesso puoi riconoscere un messaggio di posta elettronica o una pagina Web fasulli perché contengono errori di battitura o hanno un aspetto insolito. Ad esempio hanno strane ortografie di nomi di società (ad esempio "PeyPal" anziché "PayPal") oppure spazi, simboli e segni di punteggiatura insoliti (come "Servizio clientiiTunes" anziché "Servizi clienti iTunes").
👮Come proteggere il PC?
- Mantieni sempre aggiornato il tuo dispositivo con le versioni più recenti del tuo Sistema Operativo (Windows, Linux, Mac OS).
- Su Windows 10, ad esempio, puoi attivare Windows Defender Antivirus per garantire la protezione da virus e malware, oppure installare un Antivirus di terze parti (gratuito o a pagamento).
- Su Windows attiva Cronologia file se non è già stata attivata dal produttore del Computer.
- Esegui regolarmente il backup dei contenuti del Computer su dispositivi esterni e possibilmente tienili scollegati dal Computer.
- Sfrutta lo spazio di archiviazione per mantenere due copie dei dati del PC.
☣️Cos'è WannaCry ?
E' un tipo di Ransomware che, a partire dal 12 maggio 2017, sta attaccando tutto il mondo, e si stima che finora abbia infettato 200.000 sistemi in 150 nazioni. Purtroppo continuano ad emergere notizie di un nuovo tipo di attacco malware che EUROPOL ha definito “di un livello senza precedenti" e a cui ha dedicato una pagina web apposita.
Questo malware è conosciuto anche con altri nomi: WannaCrypt, WanaCrypt0r, WRrypt, WCRY, Wana Decrypt0r 2.0 ed è un ransomware che si diffonde sfruttando gli exploit denominati EternalBlue e DoublePulsar.
WannaCry cifra i files del computer e mostra una schermata con la frase "Ooops your files have been encrypted!" chiedendo il riscatto in Bitcoin.
WannaCry cifra i files del computer e mostra una schermata con la frase "Ooops your files have been encrypted!" chiedendo il riscatto in Bitcoin.
“Ooops your files have been encrypted!” |
WannaCry sfrutta una nota vulnerabilità presente su tutti i sistemi Windows nel protocollo SMBv1 (Microsoft Server Message Block 1.0 server) che è utilizzato per la condivisione dei file in una rete.
Nella fase dell’infezione il Worm fa una scansione della rete sulla porta TCP 445 (SMB) alla ricerca di sistemi Windows vulnerabili e se ne trova li infetta con la backdoor DoublePulsar per ottenere l’accesso al computer, dopodiché il malware fa una copia di se stesso e la esegue.
Ecco una pagina riassuntiva:
WannaCry|WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm
Nella fase dell’infezione il Worm fa una scansione della rete sulla porta TCP 445 (SMB) alla ricerca di sistemi Windows vulnerabili e se ne trova li infetta con la backdoor DoublePulsar per ottenere l’accesso al computer, dopodiché il malware fa una copia di se stesso e la esegue.
Ecco una pagina riassuntiva:
WannaCry|WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm
Sono vulnerabili tutti i sistemi che non sono ancora stati aggiornati con la patch di sicurezza MS17-010 (o successive), rilasciata a partire dal 14 Marzo 2017 in avanti. Sono particolarmente esposte soprattutto quelle piattaforme che non ricevono più un supporto automatico degli aggiornamenti di sicurezza, tra cui ad esempio Windows XP, Windows 8, e Windows Server 2003. In questi ultimi tre casi devi scaricare la patch specifica per il Sistema Operativo e aggiornare manualmente il computer.
⚔️Prevenire l'infezione aggiornando il PC
Ecco un link alle istruzioni ufficiali su come difendersi da Wannacry fornite dalla Polizia di Stato italiana.
Di seguito un riepilogo delle patch da verificare o installare in base al sistema Windows del PC:
Di seguito un riepilogo delle patch da verificare o installare in base al sistema Windows del PC:
Con Windows 7 e Windows Server 2008 R2
Il sistema è protetto se è già installata almeno una delle seguenti patch:
KB4019264, aggiornamento cumulativo di maggio, 2017-05
KB4015552, anteprima aggiornamento cumulativo di aprile 2017
KB4015549, aggiornamento cumulativo di aprile 2017
KB4012215, aggiornamento cumulativo di marzo 2017
KB4012212, aggiornamento cumulativo di marzo 2017 (solo patch di sicurezza)
Altrimenti installa immediatamente almeno il pacchetto KB4012212, nelle versioni a 32 e 64 bit .
Con Windows 8.1 e Windows Server 2012 R2
Il sistema è protetto se è già installata almeno una delle seguenti patch:
KB4019215, aggiornamento cumulativo di maggio, 2017-05
KB4015553, anteprima aggiornamento cumulativo di aprile 2017
KB4015550, aggiornamento cumulativo di aprile 2017
KB4012216, aggiornamento cumulativo di marzo 2017
KB4012213, aggiornamento cumulativo di marzo 2017 (solo patch di sicurezza)
Con Windows Vista
Il sistema è protetto se è già installata la patch KB4012598, altrimenti provvedi ad installare la versione per Vista scaricandola da qui.
Con Windows 10
Premi la combinazione di tasti Windows+R poi scrivi il comando winver e premi Invio.
Se compare "Versione 1607" (Anniversary Update), il sistema è sicuro la Build è successiva alla versione 14393.953.
Se la Build è precedente oppure è una vecchia "Versione 1511" o "Versione 1507", devi aggiornare il sistema all'ultima versione di Windows 10.
Con Windows XP, Windows Server 2003 e Windows 8
I sistemi Windows XP, Windows Server 2003 e Windows 8 non sono più supportati da parte di Microsoft. Tuttavia, considerata la gravità del problema di sicurezza che ha portato alla rapida diffusione del ransomware WannaCry, Microsoft ha eccezionalmente rilasciato la patch di sicurezza MS17-010 (scaricabile da qui) anche per questi sistemi Windows ormai abbandonati.
😡Sono stato infettato ora che faccio?
Purtroppo al momento la decrittazione di file crittografati da WannaCry non è attualmente possibile in modo certo e in tutte le situazioni.
Puoi recuperare i files solo ripristinandoli in questo modo:
Puoi recuperare i files solo ripristinandoli in questo modo:
- Ripristinando i file dalle copie di backup
- In alcuni casi i file possono essere recuperati senza backup:
- Da copie shadow (se è stato in precedenza abilitato)
- Utilizzando uno strumento di recupero dei file cancellati (Undelete).
Non pagare il riscatto in quanto il pagamento non garantisce sempre la risoluzione del problema. Inoltre così facendo supporti l'attività dei criminali informatici e il finanziamento delle loro attività illegali.
Sulla base del lavoro precedente è stato creato un altro strumento, appartenente alla categoria dei ransomware decrypter, ovvero WanaKiwi e sembra funzionare, oltre che su Sistemi Windows XP, anche su Windows 7, Windows 2003 server, Windows Vista, Windows 2008 e 2008 R2 server.
Anche questo software di decifrazione riesce a individuare gli indirizzi di memoria dove vengono temporaneamente salvate le chiavi crittografiche usate per cifrare i dati dell'utente. Poiché esse vengono cancellate con lo spegnimento del PC è molto importante non riavviare il sistema per evitare di perdere per sempre questi dati e utilizzare immediatamente WanaKiwi. Purtroppo questo approccio non funziona con Windows 10 e Windows 8.1.
Ecco un Link con i passi da attuare per procedere alla decrittazione.
Infine ecco un'analisi di fattibilità della decifrazione dei file cifrati con WannaCry
🔬Tentare la decifrazione dei files
Su sistemi Windows XP infettati, che non sono ancora stati riavviati, è possibile tentare di decifrare i files cifrati (encrypted) da WannaCry utilizzando il software di decifrazione WannaKey, creato dal ricercatore di sicurezza Adrian Guinet di Quarkslab. In sostanza il software cerca di recuperare la chiave di decifrazione dal pc infetto prima che essa venga cancellata riavviando il computer. Tuttavia questo software di decifrazione NON funziona su sistemi più recenti (Windows 10). Ecco un Link con i passi da attuare per procedere alla decrittazione.Sulla base del lavoro precedente è stato creato un altro strumento, appartenente alla categoria dei ransomware decrypter, ovvero WanaKiwi e sembra funzionare, oltre che su Sistemi Windows XP, anche su Windows 7, Windows 2003 server, Windows Vista, Windows 2008 e 2008 R2 server.
Anche questo software di decifrazione riesce a individuare gli indirizzi di memoria dove vengono temporaneamente salvate le chiavi crittografiche usate per cifrare i dati dell'utente. Poiché esse vengono cancellate con lo spegnimento del PC è molto importante non riavviare il sistema per evitare di perdere per sempre questi dati e utilizzare immediatamente WanaKiwi. Purtroppo questo approccio non funziona con Windows 10 e Windows 8.1.
Ecco un Link con i passi da attuare per procedere alla decrittazione.
Infine ecco un'analisi di fattibilità della decifrazione dei file cifrati con WannaCry