WannaCry: tutto quello che c’è da sapere su questo ransomware

Ecco spiegato perché c’è da stare attenti: “vita, morte e miracoli” di questo malware.

Ecco il messaggio visualizzato dal ransomware

Sono state già riscontrate numerose infezioni in ospedali inglesi ed aziende da ogni parte del mondo.

Ecco un esempio di infezione:

Anche l’Università di Milano Bicocca è stata infettata dal ransomware

Dettagli generali

Il ransomware in questione sfrutta le vulnerabilità corrette dal bollettino MS17–010 rilasciato a Marzo scorso. Se non l’avete ancora fatto, aggiornate subito la vostra edizione di Windows. In questo modo sarete immuni da questo problema. Alla fine dell’articolo ulteriori dettagli.

Sono colpite tutte le edizioni di Windows. La patch, fortunatamente, è stata rilasciata anche da Windows XP (fonte) e si trova su “UpdateCatalog”, sito ufficiale di Microsoft.

I criminali hanno sfruttato la falla che era stata già pubblicata dall’informatico Laurent Gaffié pochi giorni prima del programmato rilascio della patch correttiva di Febbraio, mai pubblicata.

La stessa falla è sfruttata in uno strumento dell’NSA chiamato EternalBlue/DoublePulsar, che è stato reso pubblico ed analizzato. Una precisazione, lo strumento è stato pubblicato da Shadow Brokers e non da WikiLeaks.

Sembra che il ransomware si comporti come un worm. Entra nella rete locale e poi inizia ad infettare tutti i computer connessi.

Il ransomware installa di nascosto una backdoor di nome Doublepulsar.

Il prezzo fissato dai criminali è 300 dollari, che aumentano a 600 dollari nel caso di mancato pagamento.

Come potete notare dalla cartina, ci sono state moltissime infezioni in Russia , Ucraina e Taiwan ed un numero uniforme in Europa e negli Stati Uniti.

C’è da notare che il messaggio è multilingua ed è compreso anche l’Italiano:

Ecco le note di spiegazione che il ransomware presenta:

Questo file si chiama @Please_Read_Me@.txt

Ecco un’altra mappa aggiornata sulla situazione:

Alle 10:21 del 13 maggio 2017

Trovate la versione in tempo reale qui:

Nel frattempo, ritroviamo il ransomware anche a Francoforte, sul tabellone di una stazione, il che significa che l’intera rete è stata infettata.

Per gli esperti, ecco gli hashes di WannaCrypt:

Esempio di infezione con WannaCry in ambiente controllato.

La sua estensione, quella con cui cripta i files, è .wncry.

Portafogli Bitcoin

Con relativo collegamento a Blockchain

Disabilitare SMB per proteggersi

Per chi non può aggiornarsi, è possibile anche disabilitare SMB.

Bisogna fare click sul pulsante Windows, poi selezionare “Programmi e funzionalità”, cliccare su “Attiva o disattiva funzionalità di Windows” ed infine togliere la spunta a SMB.

Microsoft da una guida ufficiale per disattivare SMB con comandi da eseguire in Powershell.

Windows 8 e Windows Server 2012

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB1Protocol $false

Per disattivare SMBv2 e SMBv3 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB2Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008

Per disattivare SMBv1 nel server SMB, eseguire il seguente codice:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

Per disattivare SMBv2 e SMBv3 nel server SMB, eseguire il seguente cmdlet:

Set-ItemProperty-percorso “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2-tipo DWORD-valore 0 — forza

Secondo Kaspersky, la disattivazione dell’SMB non dà immunità completa. Infatti, la vulnerabilità SMB risulta essere la maggiore causa di diffusione ma non l’unica. L’unica via per risolvere definitivamente il problema è fare regolarmente un backup prima dell’infezione e poi scollegarlo dalla rete e dal computer. Oltre a non aprire mai allegati senza averli scannerizzati con antivirus.

Crittografia e propagazione

Tipologie di file criptati

L’elenco estensioni di file criptati si trova qui.

Dettagli della crittografia

Si tratta di crittografia AES-128 con una chiave AES generata con CSPRNG, CryptGenRandom. La chiave è poi criptata da RSA-2048.

Come si propaga il virus

Il virus si propaga esclusivamente con SMB da rete locale a rete locale con connessioni aperte. Anche tramite VPN.

Aggiornamenti

Una speranza?

Un tweet, ora cancellato, diceva:

In Italiano, dice che le chiavi di decriptazione fossero contenute nel computer infettato. Il tweet è stato cancellato e, ad oggi, non è stato trovato modo di decriptare.

Dominio acquistato, diffusione fermata

Dei ricercatori informatici hanno scoperto annidato nel codice del malware una “zattera di salvataggio” (oppure un “tasto STOP”) chiamato in gergo “killswitch”. Nel caso in cui fosse stato registrato un determinato dominio (ed il malware l’avesse trovato attivo), il malware avrebbe smesso di criptare dati.

I ricercatori hanno registrato questo dominio ed ora la diffusione si è fermata. Potrebbero riprendere da un momento all’altro con un codice modificato.

Trovate dettagli tecnici qui.

Il numero delle infezioni è comunque alto. Ecco la mappa di oggi a confronto con quella di ieri fornita da Malwaretech.

Ieri sera ore 21:00 contro oggi ore 10:21 (Credits: malwaretech)

Ripresa delle infezioni

È possibile che ci sia in giro una variante di WannaCry senza “kill-switch” (la “zattera di salvataggio” descritta prima). Questo sarebbe davvero grave perché non ci sarebbe modo veloce per fermare le infezioni (in attesa dei ricercatori informatici).

Stare sempre attenti

Qualsiasi PC con quella vulnerabilità, se connesso ad Internet, verrebbe infettato in meno di tre minuti. Il killswitch aiuta ma non risolve completamente il problema. Bisogna quindi procedere subito ad aggiornare con le patch più recenti.

È stato creato un account twitter che segnala tutti i pagamenti fatti ai creatori del ransomware.


Fonti: tutti i tweet presenti nell’articolo, Paolo Attivissimo (disinformatico.info), resoconto completo su Gist, Microsoft, The Guardian.

Articolo sotto licenza CC-BY 4.0 — Internazionale (escluse immagini).

Like what you read? Give Ferdinando Traversa a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.