I ransomware hanno causato grandi disagi negli ultimi anni. Recentemente la fuoriuscita dell’exploit EternalBlue della NSA (National
Security Agency statunitense) è stata usata dai cyber criminali per diffondere il ransomware
WannaCry in tutto il mondo. L'exploit della vulnerabilità di MS-17-010 di Windows è
stata reso pubblica dal noto gruppo di cyber criminali Shadow Broker il 14
Aprile 2017. Questa vulnerabilità riguarda la maggior parte dei sistemi operativi desktop e server di Windows Microsoft: Microsoft ha rilasciato un
aggiornamento nel Marzo 2017 per questo motivo. I sistemi che però non hanno
effettuato l’aggiornamento sono potenziali vittime del ransomware WannaCry.
WannaCry ha creato il caos in tutto il mondo
Questo ransomware ha già attaccato importanti organizzazioni
in Spagna, Inghilterra, Cina e in altre nazioni inclusa l’Italia. Queste
organizzazioni includono cliniche e ospedali inglesi, agenzie di
telecomunicazioni, gas, elettricità ecc ... In Cina sono
state attaccate anche alcune università. Nel Regno Unito sono stati colpiti principalmente ospedali: i team di sicurezza IT degli stessi sono stati costretti a spegnere i computer (stessa soluzione applicata dal Sistema Sanitario Pubblico inglese) per impedire una infezione su vasta scala: da giorni queste strutture rifiutano tutti i pazienti non in gravi condizioni.
Come funziona il ransomware WannaCry?
Il Worm WannaCry scansiona le rete in cerca di serve Windows con la porta Samba SMB 445 aperta. Questa è la porta SMB che viene viene attaccata e sfruttata dall’exploit “EternalBlue”: i cyber-criminali ottengono così l'accesso alla macchina e vi scaricano
il ransomware WannaCry. Una votla che il ransowmare viene eseguito inzia il processo di criptazione: ad ogni file criptato viene modificata l'estensione, aggiungendo ".WNCRY" e "
".WCRY" dopo l'estensione originale.
Dopodichè, l’exploit copia i seguenti file eseguibili nel sistema:
- C:\ProgramData\\@WanaDecryptor@.exe
- C:\ProgramData\\tasksche.exe
- C:\ProgramData\\taskdl.exe
- C:\ProgramData\\taskse.exe
WannaCry aggiunge i seguenti comandi di registro per rendersi persistere nel sistema e riavviarsi ad ogni reboot del sistema:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“xwjfzbtm432?=”\”C:\\ProgramData\\\\tasksche.exe\
Concluso il processo di criptazione il ransomware mostra il
seguente messaggio d’allerta contenente le istruzioni da seguire per
ripristinare i file. Viene mostrato anche il conto alla rovescia per creare il
panico e portare la vittima a pagare il riscatto richiesto, con la minaccia di
eliminare, altrimenti, tutti i dati criptati. WannaCry mostra il messaggio di
riscatto nella lingua in cui è impostata la macchina della vittima.
Come QuickHeal protegge dal ransomware WannaCry?
Quick Heal Virus Protection ha rilevato e ripulito i sistemi
dai file maligni responsabili della criptazione, come il file “TrojanRansom.Wanna”.
Quick Heal Advanced Behavior Detection System ha individuato l’attività
di WannaCry con successo basandosi sul suo comportamento. Si ricorda che, in situazioni di minaccia, gli utenti devono fare click nel bottone BLOCCA per
fermare l’attività del ransomware.
Raccomandazioni per ridurre gli attacchi ransomware:
Quick Heal Security Labs raccomanda vivamente di prendere le seguenti
misure di sicurezza per ridurre il rischio d’infezione del ransomware WannaCry:
- Effettuare l’aggiornamento per la vulnerabilità
usata da questo ransomware. Fare riferimento al bollettino Microsoft MS17-010- Security Update for Microsoft Windows SMB Server.
- Eseguire regolari backup dei tuoi dati, sopratutto quelli più importanti e verificare periodamente il corretto funzionamento del processo di rispritino dei file da backup.
- Assicurarsi che le soluzioni per la sicurezza
siano attive in tutti i nodi della rete.
- Tenere sempre aggiornati i software di sicurezza
installati.
- Eseguire la scansione totale del sistema usando
i software di sicurezza installati.
- Evitare di cliccare link e aprire allegati di
email provenienti da fonti sconosciute e sospette.
