Cos’è WannaCry

WannaCry (tecnicamente WanaCrypt0r 2.0 o WCry/WannaCry) è un ransomware, ovvero un malware che limita l’accesso al dispositivo crittografando, come in questo caso, i dati chiedendo un riscatto per lo sblocco.

 

Perchè WannaCry

Ovviamente per trarre guadagno. Un utente, vedendo questo messaggio, è invitato a pagare in Bitcoin il riscatto. Chi ci guadagna sono quindi gli hacker.

Questi i portafogli più utilizzati:

Cliccando si può notare un gran numero di transazioni. Le fonti sono state confermate da Kaspersky.

 

Come si diffonde e come funziona

Il malware si propaga attraverso le connessioni SMB attive da una rete locale all’altra tramite Internet, secondo lo studio effettuato da Malwarebytes. Una volta entrato in una rete locale, utilizza le condivisioni SMB per infettare gli altri computer collegati alla stessa infrastruttura.

Dopo alcune ore, Malwaretech ha preso il controllo (sinkhole) di uno dei domini citati nel malware, www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, e ha scoperto che se il dominio esiste e accessibile, il malware non effettua cifratura (fonte: Malwarebytes); in caso contrario procede con la crittografia dei dati. Il dominio serve a far capire al malware se sta girando in una sandbox (ambiente di test) o in un computer reale.

 

Chi colpisce

Esclusivamente i dispositivi con sistema operativo Windows XP/Vista/7/8/8.1/10.

 

Effetti a livello mondiale

  • Nel Regno Unito sono stati colpiti in particolare l’intero sistema sanitario nazionale e la Nissan.
  • In Spagna hanno avuto gravi problemi la compagnia telefonica spagnola Telefónica e altre aziende nel settore dell’energia (Iberdola e Gas Natural).
  • Negli Stati Uniti anche FedEx è stata colpita.
  • In Russia ci sono segnalazioni di problemi presso banche (Sberbank, VTB) e ferrovie (RZD).
  • Elenco dei siti web colpiti.

L’unica nazione salva è la Svizzera, grazie anche all’informativa diramata da MELANI.

 

Di chi è la colpa?

Secondo delle fonti, la colpa sarebbe dell’NSA statunitense, che è stata in grado di creare del software pericolosissimo e, in particolare dello strumento di intrusione EternalBlue/DoublePulsar, che è stato trafugato insieme ad altri da un’organizzazione criminale che si fa chiamare ShadowBrokers e che ha dapprima cercato di guadagnare mettendo all’asta la refurtiva e poi, di fronte al fallimento dell’asta, ha pubblicato tutto online, a disposizione di chiunque. EternalBlue/DoublePulsar è stato analizzato e poi ricreato da criminali informatici che lo stanno sfruttando per questo attacco Ha inoltre sempre tenuto per sè la conoscenza delle falle anzichè segnalarle a Microsoft.

 

 

Formati dei file danneggiati

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

 

Come difendersi

  • Aggiornare sempre il PC e i programmi installati;
  • Aggiornare il software antivirus e antimalware;
  • Effettuare spesso un backup dei dati
  • Non aprire mail che chiedono di effettuare aggiornamenti, sbloccare conti/carte o che chiedano password o dati sensibili.
  • Disabilitare SMB 1.0 da Pannello di Controllo > Programmi e funzionalità > Attiva o disattiva funzionalità Windows.
  • Controllate di non avere connessioni SMB aperte, comprese quelle su VPN.
  • Se avete un PC infetto, disconnettetelo dalla rete.

 

Cosa fare se si è vittima di attacco

  • Se avete un backup recente dei dati, potete ripristinarli (ma prima effettuate un reset del sistema operativo!);
  • Se anche il backup è cifrato avete due opzioni: pagare il riscatto, nella speranza che gli hacker effettuino lo sblocco dei dati, o effettuare un recupero dati da persone o aziende specializzate nel settore.

 

Maggiori informazioni