WannaCry WannaCryptor: peggiore epidemia della storia dei virus-ransomware

WannaCry ransomware, noto anche come WannaCryptor o WCry, ha attaccato i computer di tutto il mondo, compresi quelli di ospedali e le agenzie governative, provocando il caos. Avast Antivirus afferma di averlo individuato in 116 paesi nel mondo. L’attacco si è diffuso in quanto gli utenti di tutto il mondo non hanno installato la patch che risolve la vulnerabilità Patch MS 17-010, rilasciato da Microsoft il 17 Marzo e quella del 9 Maggio 2017 (link), attraverso l’aggiornamento del sistema operativo mediante Windows Update. Avast afferma che si è trattato della peggiore epidemia della storia ransomware.

Secondo i dati raccolti da Avast Antivirus (fonte qui), i 10 paesi più colpiti da WannaCry ransomware sono stati (in ordine): Russia, Ucraina, Taiwan, India, Brasile, Thailandia, Romania, Filippine, Armenia e Pakistan. Più della metà dei tentativi di attacco, agli utenti che avevano installato l’antivirus, sono stati bloccati in Russia.

WannaCry utilizza EternalBlue (utilizzato dalla NSA USA)

WannaCry (scopri come rimuoverlo), come la maggior parte delle varianti di ransomware, non ha avuto un obiettivo specifico. Il ransomware utilizzato è stato un exploit conosciuto come EternalBlue (exploit che si ritiene sia stato scritto dalla National Security Agency – NSA – e che un gruppo di hacker noto come i Shadow Brokers ha reso pubblico il mese scorso. Sfrutta una vulnerabilità in Windows SMB (Server Message Block, un File Transfer Protocol) etichettato MS17-010. In questo modo, WannaCry si è diffuso alla cieca e in modo casuale andando a colpire coloro che non avevano installata la patch che risolve la vulnerabilità, pubblicata da Microsoft (link) nel mese di marzo.

WannaCry si è diffuso in modo “aggressivo”, continua l’analisi di Avast Antivirus, perché tutti i PC Windows collegati a una rete, e con la vulnerabilità MS17-010 non risolta, sono stati infettati senza il bisogno dell’interazione dell’utente.

Il malware attivo su un PC esegue la scansione, sia della rete locale e sia della sottorete e indirizzi IP, con una scelta a caso della destinazione. Quando trova un PC vulnerabile, il ransomware diffonde il suo codice: cosa possibile perché WannaCry contiene un “verme”.

WannaCry su Wndows XP non protetto

Gli utenti di Windows XP erano indifesi contro l’attacco di WannaCry. Microsoft ha infatti interrotto il supporto che offre per questo sistema operativo nel 2014. Anche se avessero voluto scaricare la patch, gli utenti di Windows non potevano falro. Da allora, Microsoft ha rilasciato una patch per i sistemi operativi più vecchi.

Anche se Windows XP è stato il più vulnerabile all’attacco di WannaCry, a causa della mancata disponibilità della patch prima dell’attacco, la maggior parte degli attacchi si sono verificati in Windows 7, nei computer in cui l’aggiornamento della protezione non era stato installato, pur essendo disponibile in rete. Incoraggiamo di installare sempre tutte le patch di protezione, compresi gli utenti che hanno una versione precedente di Windows: fate l’installazione il prima possibile!

Come rimuovere WannaCry dal PC

WannaCry si può rimuovere da un computer e non è difficile. Il software antivirus deve essere in grado di rimuovere il ransomware e metterlo in quarantena. Ma questo non risolve il problema, in quanto i file rimangono crittografati.

In questo momento, in base all’analisi effettuata da Avast Free Antivirus, esiste uno strumento di decrittazione gratuito, dal momento che sembra sia stata usata una crittografia molto robusta (AES-128 in combinazione con RSA-2048). Se il vostro PC è stato infettato, la soluzione migliore è quella di recuperare i file da un backup. Si dovrebbe fare in un PC “pulito”, con tutte le patch installate e con la massima sicurezza abilitata. Si dovrebbe anche farlo senza essere connessi a Internet, per ridurre al minimo il rischio di crittografare il dispositivo in cui memorizzare il backup.

Un ricercatore conosciuto su Twitter come MalwareTech (vai a visitarlo) ha scoperto come evitare che la variante più diffusa di WannaCry abbia una ulteriore diffusione.

In sostanza ha registrato il dominio www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com che il virus cercava di contattare e che si diffondeva se non lo incontrava. Cioè se WannaCry, riceve una risposta che il dominio esiste, smette di propagarsi in internet.

La vignetta divertente su WannaCry

WannaCry, ultimissime notizie: Lazarus dietro l’attacco?

Secondo quanto spiegano i ricercatori del team di Kaspersky Antivirus (fonte), gli esperti di sicurezza russi affermano, assieme ai loro colleghi della Symantec (link), che dietro all’attacco del ransomware WannaCry potrebbe esserci la mano del famigerato gruppo di pirati informatici denominato Lazarus. Non sarebbero poche le persone che collegano il cybercrime group, poi, alla Corea del Nord.

Se poi aggiungiamo il fatto che gli autori di WannaCry hanno utilizzato anche algoritmi sottratti alla Nsa, l’organismo governativo degli Stati Uniti che, insieme a Cia e Fbi, si occupa della sicurezza nazionale, capite bene come la guerra informatica mondiale abbia una certa rilevanza nel quadro geopolitico globale.

Antonio VivesTechTopAntiVirus,Avast Free Antivirus,Corea del Nord,Malware,Virus informatico
WannaCry ransomware, noto anche come WannaCryptor o WCry, ha attaccato i computer di tutto il mondo, compresi quelli di ospedali e le agenzie governative, provocando il caos. Avast Antivirus afferma di averlo individuato in 116 paesi nel mondo. L'attacco si è diffuso in quanto gli utenti di tutto il...