WannaCry/WannaCrypt: patch per la sicurezza e non solo.

WannaCry (o WannaCrypt) è il malware della categoria ransomware che è salito agli onori della cronaca per aver messo in ginocchio diverse istituzioni e diverse società sia pubbliche che private in almeno 104 paesi in tutto il Mondo, Italia compresa, e che avrebbe portato nelle tasche dei criminali informatici (quindi NON hacker ma piuttosto cracker) circa 20 mila dollari solo nella fase iniziale dell’operazione pur avendo colpito oltre 104 mila computer secondo quanto riportato da Avast. Ma quali sono i sistemi in pericolo e come ci si può difendere da questo malware e dai successivi che potrebbero sfruttare la medesima falla di sicurezza? Ecco tutte le informazioni utili.

WannaCry

WannaCry: la patch e i sistemi in pericolo

Iniziamo subito col dire che i sistemi in pericolo per l’infezione di WannaCry (o WannaCrypt) sono tutte le versioni di Windows (da Windows XP fino a Windows Server 2003 e Windows 10) tranne l’ultima versione cioè Windows 10 Creators Update che contiene già la patch all’interno dell’aggiornamento. NON sono quindi colpiti i sistemi Linux e MacOS. La patch è stata distribuita da Microsoft per tutti i sistemi operativi come Windows XP, Windows Vista, Windows 8 e Windows Server 2003, Windows Server 2008 già da Marzo 2017 ed è disponibile a QUESTO INDIRIZZO direttamente sul sito della società di Redmond mentre la pagina di supporto in italiano è a QUESTO INDIRIZZO (bollettino di sicurezza MS17-010).

Una volta aggiornato il proprio sistema con la patch sarà al sicuro da tutti i malware che sfrutteranno lo stesso sistema di diffusione comprese le versioni successive di WannaCry (o WannaCrypt) che potrebbero arrivare in queste ore in Rete con una semplice modifica del codice dopo un parziale blocco grazie a un hacker che ha individuato una falla nel sistema del malware stesso.

Nel caso abbiate un antivirus installato sarà necessario aggiornarlo così da fargli riconoscere il malware nel caso dovesse approdare sul computer e ovviamente, come pratica comune o diffusa, non accettate file da mittenti sconosciuti o che contengono allegati o link di dubbia provenienza. Nella fattispecie anche Windows Defender riconosce il malware e ne permette la rimozione come spiegato da Microsoft sul sito apposito (il malware viene chiamato Win32/WannaCrypt e a questo indirizzo c’è una FAQ che consente di avere informazioni sui ransomware in generale) . Un’ulteriore protezione si avvale della possibilità di disabilitare l’opzione “Supporto per la condivisione di file SMB 1.0/CIFS” che è attiva di default anche in Windows 10 e che permette la diffusione del malware. Per farlo seguite questi passaggi:

  • aprite il menù “Start” di Windows
  • digitate “Windows features” (senza virgolette)
  • cliccate su “Attivazione o disattivazione delle funzionalità di Windows”
  • arrivate fino alla voce “Supporto per la condivisione di file SMB 1.0/CIFS”
  • cliccate sul riquadro per disattivarla
  • cliccate “ok”
  • riavviate il computer

wannacry

Infatti una delle problematiche di WannaCry (o WannaCrypt) è che questo malware si diffonde nelle reti locali (anche VPN) infettando tutti i PC che non hanno protezioni e patch adeguate ed è uno dei motivi che la diffusione è stata così rapida all’interno di enti e organizzazioni come ospedali che hanno spesso molti computer collegati alla rete locale che non sono stati aggiornati.

WannaCry: alcune curiosità e storie

Innanzitutto come riportato inizialmente a essere colpiti sono stati oltre 104 mila computer in diverse nazioni. Ad avere la peggio sarebbe stata la Russia con il maggior numero di PC coinvolti seguita da Ucraina e Taiwan anche se le infezioni diventate più popolari sono quelle agli ospedali inglesi e alla compagnia telefonica spagnola Telefonica. Già dal mese di Febbraio 2017 esisteva una versione di WannaCry che aveva al suo interno codice per essere tradotto in 28 differenti lingue così da dare il maggior impatto sugli utenti che hanno potuto così capire le istruzioni dei cracker.

Si è parlato poi nelle ultime ore di un “ragazzino” che avrebbe fermato almeno parzialmente la diffusione del malware. In realtà si tratta di un misto di competenza (considerando che lo stesso lavora per una società di sicurezza informatica) e fortuna in quanto, come spiegato dallo stesso (che si fa chiamare MalwareTech su Twitter) ha prima di tutto eseguito il codice del malware in un’unità virtuale con Windows per poi monitorarne il comportamento. A quel punto ha notato che WannaCry tentava di connettersi a un sito il cui indirizzo è “www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” e ha così acquistato il dominio riuscendo a fermare almeno parzialmente la diffusione (lui stesso ha però ammesso che non sapeva se questo sistema avrebbe funzionato in un primo momento). La descrizione di com’è andata la sua giornata è disponibile sul blog di Malware Tech. La motivazione sarebbe quella di avere un interruttore virtuale per bloccare la diffusione dal malware da parte del suo creatore: infatti se la il dominio di cui abbiamo scritto l’indirizzo non è accessibile, allora il malware continua a criptare i file e propagarsi, mentre se il dominio diventa raggiungibile, il malware si ferma. Ovviamente è facile capire che le prossime versioni di WannaCry potrebbero avere indirizzi diversi e quindi questa è solo una “patch temporanea” alla sua diffusione. L’unica soluzione è aggiornare i sistemi.

Un’ultima nota è quella che vede questo malware legato al cyber-spionaggio condotto dall’NSA dove l’agenzia statunitense aveva realizzato e utilizzato sistemi analoghi chiamati EternalBlue e DoublePulsar (sfruttando le stesse falle) per mettere a punto malware utilizzabili come arma informatica contro alcuni obiettivi. Alcuni cracker conosciuti con il nome di Shadow Brokers hanno però avuto accesso al codice malevolo e prima hanno tentato di rivenderlo successivamente lo hanno diffuso in Rete portando alla creazione di WannaCry nelle varie versioni.

ARTICOLI CORRELATIALTRO DALL'AUTORE