Attacco informatico globale: ecco come difendersi da Wannacry

La Polizia postale spiega come agisce il virus "ransomware" che ha infettato migliaia di computer in 150 Paesi. L'Europol: "Non pagate il riscatto"

Attacco informatico globale: ecco come difendersi da Wannacry
Redazione Tiscali

Si può chiamare WCry, WannaCry oppure WanaCrypt0r ed è il ransomware che ha infettato migliaia di computer in 150 Paesi. Un attacco hacker impressionante dovuto soprattutto alla rapidità con la quale si è diffuso a livello globale. Il motivo della sua diffusione così rapida è la combinazione di ransomware ovvero il malaware che blocca l'accesso ai dati fino al pagamento di un riscatto con un'applicazione worm, un malaware capace di autoreplicarsi spedendosi direttamente agli altri computer (ad esempio tramite e-mail). La Polizia postale italiana e il CNAIPIC (Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche) stanno monitorando il fenomeno. Gli specialisti della Polizia postale hanno invitato gli utenti della Rete a seguire semplici procedure per riconoscere il ransomware e difendersi. L'Europol raccomanda inoltre di "non pagare" il riscatto chiesto dagli hacker.

Come si comporta

1) le vittime ricevono il malware via rete.

2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.

3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.

4) La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.

5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.

6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.

Come cercare di difendersi

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:

Lato client
- eseguirel’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;
- aggiornare software antivirus:
- disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
- il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
- il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l'avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.