Come proteggersi dal ransomware Wanna Cryptor in arte WannaCry?


 wanna cryptor ransomware

L’ormai conosciuto Ransomware WannaCry ha mietuto numerose vittime dovute ad una infezione a larga scala; ha infettato grandi società in tutto il mondo arrivando a contagiare ben oltre 90 nazioni. WannCry sfrutta un exploit pensato per sistemi operativi Microsoft che esegue la vulnerabilita MS17-010 presente nel protocollo del server SMB.

Ma come funziona?

Il ransomware in questione entra in azione quando l’utente apre un file che contiene il virus (tipicamente ricevuto tramite messaggio di posta elettronica) oppure aprendo link a pagine infette. Una volta eseguito il ransomware, l’infezione agisce buttando fuori gli utenti dal sistema operativo e cifrando tutti i dati presenti sul disco rigido aggiungendo l’estensione .wcry. In aggiunta vengono eliminate le copie di sicurezza del sistema operativo presenti nelle partizioni nascoste in modo tale da impedirne il ripristino. Il riscatto viene attuato quando sul computer viene mostrato solo ed esclusivamente il messaggio con la richiesta di riscatto in bitcoin.

Ma Microsoft ha fornito una patch per rimuovere la vulnerabilità il 14 Marzo ma non ancora tutti gli utenti hanno aggiornato i loro sistemi operativi.

Come poteva essere evitato?

L’attacco ha colpito principalmente le società che non hanno preso in considerazione le patch di sicurezza di Microsoft, dato che  l’exploit è stato risolto già dal mese di Marzo.

Per mitigare questo tipo di attacchi i SysAdmins devono:

  • Attuare un sistema di patching più semplice possibile, non aspettando giorni per installare fix di sicurezza (parliamo di eternità in standard di Cybersecurity).
  • Aggiornare il software “legacy”, soprattutto presente su vecchi sistemi operativi ( per caso usate ancora Windows XP o Windows Server 2003 ?)
  • I sistemi BYOD usateli mantenendoli in reti separate da quelle operative dato che possono aiutare il virus a divulgarsi.

 

Per maggiore sicurezza dei vostri sistemi assicuratevi di non avere esposte dall’esterno le porte nel range 135-139 e la 445 ( se proprio vi servono, installate prima la fix di sicurezza).

Sulla spiegazione tecnica del virus non mi dilungo dal momento che le case antivurus ne hanno già pubblicate e mi permetto di linkarvi la spiegazione fornita dalla Symantec: https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99&tabid=2.

 

Ma se per necessità dobiate ancora usate sistemi Windows XP/Vista/8 e Windows Server 2003/2008 ?

Data la gravità e  la portata del ransomware, la Microsoft ha voluto realizzare tale fix di sicurezza anche per sistemi operativi oramai fuori supporto.
Di seguito vi posto il link per le versioni specificate:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

 

Notate bene : Pagare il riscatto non sempre garantisce lo sblocco dei propri file. Come al solito la migliore cura è la prevenzione.

 

Rientrate fra le utente colpite? Vediamo come decriptare i file senza pagare il riscatto.

Al momento, sono stati realizzati due software per aiutarci nella dura impresa della decriptazione dei dati:

  • WannaKey
  • WannaKiwi

WannaKey, consente di rilevare la chiave crittografica utilizzata da WannaCry ma ha il grosso limite che funziona solamente su Windows XP.

Fortunatamente, dei ricercatori francesi hanno creato WannaKiwi; tale applicativo ha la stessa funzionalità del WannaKey ma, a differenza di quest’ultimo, funziona su diversi sistemi operativi quali: Windows 7, Windows 2003, Windows Vista, Windows Server 2008, 2008 R2, e XP. L’unica premessa, fondamentale, per far sì che funzioni correttamente è non riavviare il computer.
In pratica WannaKiwi cerca di ricostruire la chiave usata dal WannaCry tentanto di analizzare la memoria del sistema ( da qui la necessità di non riavviare ) per estrarre alcune variabili usate per generare la chiave di cifratura.

Nonostate WannaKiwi sia risultato efficace in numerosi casi, la decodifica non è garantita dato che i dati nella memoria potrebbero essere stati riallocati ed inoltre il funzionamento stesso non è garantito su sistemi con CPU x64.

 

 

[Voti: 5    Media Voto: 5/5]
Scritto da Alessandro Consorti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *