{"id":10313,"date":"2017-05-15T11:09:26","date_gmt":"2017-05-15T11:09:26","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=10313"},"modified":"2020-05-19T20:04:50","modified_gmt":"2020-05-19T18:04:50","slug":"wannacry-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/wannacry-ransomware\/10313\/","title":{"rendered":"Wannacry: sei al sicuro?"},"content":{"rendered":"

Un paio di giorni fa abbiamo assistito alla diffusione del Trojan encryptor WannaCry che sembra essere stata una pandemia mondiale. Abbiamo rilevato oltre 45.000 casi di attacchi in un solo giorno, ma il numero reale \u00e8 molto pi\u00f9 elevato.<\/p>\n

Cosa \u00a0\u00e8 successo?<\/strong><\/h2>\n

Un gran numero di enti hanno segnalato contemporaneamente un\u2019infezione. Tra questi, anche diversi ospedali britannici che hanno dovuto sospendere le operazioni. Stando ai dati forniti da terze parti, WannaCry ha infettato oltre 100.000 computer. La grande quantit\u00e0 di infezioni \u00e8 uno dei motivi pi\u00f9 importanti per cui ha attirato tutta questa attenzione.<\/p>\n

Il maggior numero di attacchi \u00e8 avvenuto in Russia, ma anche Ucraina, India e Taiwan hanno subito danni a causa di WannaCry. Solo nel primo giorno d\u2019attacco, abbiamo scoperto che WannaCry aveva agito in 74 paesi.<\/p>\n\n

Che cosa \u00e8 WannaCry?<\/strong><\/h2>\n

\"\"<\/p>\n

In genere WannaCry \u00e8 formato da due parti. La prima \u00e8 un\u00a0exploit<\/a>\u00a0che si occupa dell\u2019infezione e della diffusione. La seconda parte \u00e8 un\u00a0encryptor<\/a>\u00a0che si scarica sul computer dopo che questo \u00e8 stato infettato.<\/p>\n

La prima parte costituisce la differenza principale tra WannaCry e la maggior parte degli encryptor. Per infettare un computer con un encryptor comune, un utente deve commettere un errore, cliccando ad esempio su un link pericoloso, permettendo a Word di avviare una macro dannosa o scaricando un allegato sospetto da una mail. Un sistema pu\u00f2 essere infettato da WannaCry senza che l\u2019utente faccia nulla.<\/p>\n

WannaCry: sfruttamento e propagazione<\/strong><\/h2>\n

I creatori di WannaCry si sono approfittati dell\u2019exploit di Windows noto come EternalBlue, che si basa su una vulnerabilit\u00e0 che Microsoft\u00a0aveva risolto nell\u2019aggiornamento di sicurezza MS17-010<\/a>\u00a0il 14 marzo di quest\u2019anno. Utilizzando l\u2019exploit, i criminali hanno potuto ottenere l\u2019accesso remoto ai computer e installare l\u2019encryptor.<\/p>\n

Se avete installato l\u2019aggiornamento, allora questa vulnerabilit\u00e0 non vi riguarda e qualsiasi tentativo di hackerare il computer in maniera remota tramite la vulnerabilit\u00e0 fallir\u00e0. Ad ogni modo, i ricercatori del team GReAT di Kaspersky Lab (Global Research & Analysis Team)\u00a0vorrebbero evidenziare<\/a>\u00a0il fatto che risolvere la vulnerabilit\u00e0 non blocca completamente l\u2019encryptor. Quindi se lo avviate in qualche modo (quindi se si commette un errore) allora il fatto che la vulnerabilit\u00e0 sia stata risolta non vi servir\u00e0 a niente.<\/p>\n

Dopo esser riuscito ad hackerare un computer in maniera efficace, WannaCry prova a diffondersi tramite la rete locale sugli altri computer, proprio come un worm. L\u2019encryptor scansiona gli altri computer alla ricerca della stessa vulnerabilit\u00e0 che pu\u00f2 essere sfruttata con l\u2019aiuto di EternalBlue e quando WannaCry trova un computer vulnerabile, lo attacca e ne cripta i file.<\/p>\n

Di conseguenza, infettando un computer, WannaCry pu\u00f2 infettare un\u2019intera rete locale e criptare tutti i computer connessi alla rete. Ecco perch\u00e9 le grandi aziende sono quelle che hanno subito i danni maggiori dall\u2019attacco di WannaCry (pi\u00f9 computer sono connessi alla rete, pi\u00f9 grande \u00e8 il danno).<\/p>\n

<\/h2>\n

WannaCry: Encryptor<\/strong>\u00a0<\/strong><\/h2>\n

Come encryptor, WannaCry (a volte chiamato WCrypt o, senza alcun motivo,\u00a0WannaCry Decryptor<\/a>) si comporta come tutti gli altri encryptor; cripta i file su un computer e richiede un riscatto per decriptarli. \u00c8 molto simile a una variante del famigerato\u00a0Trojan CryptXXX<\/a>.<\/p>\n

WannaCry cripta file di diverso tipo (troverete la lista completa in questo\u00a0link<\/a>), incluso documenti, foto, video, archivi e altri tipi di formati che possono contenere potenzialmente dati critici degli utenti. Le estensioni dei file criptati sono rinominati come .WCRY e i file diventano completamente inaccessibili.<\/p>\n

Dopo tutto questo, il Trojan cambia lo sfondo del desktop con una foto in cui vengono fornite le informazioni sull\u2019infezione e tutto quello che deve fare l\u2019utente per recuperare i file. WannaCry invia notifiche come file di testo con le stesse informazioni alle cartelle del computer per assicurarsi del fatto che l\u2019utente riceva il messaggio.<\/p>\n

Come d\u2019abitudine, una delle cose da fare implicava un trasferimento di una certa somma di denaro in bitcoin ai criminali. Dopo aver fatto tutto questo, i criminali assicurano alla vittima di decriptare tutti i file. Inizialmente i cybercriminali hanno chiesto 300 dollari, ma successivamente hanno alzato la posta in gioco chiedendone 600.<\/p>\n

In questo caso, i malfattori hanno provato anche a intimidire le vittime affermando che la somma del riscatto sarebbe aumentata nel giro di tre giorni (e anche che dopo sette giorni i file non sarebbero potuti pi\u00f9 essere decriptati). Come sempre, non consigliamo di pagare il riscatto. Forse il motivo pi\u00f9 convincente per non farlo \u00e8 che non c\u2019\u00e8 alcuna garanzia del fatto che i criminali decriptino i vostri file dopo aver ricevuto il riscatto. I ricercatori hanno infatti dimostrato che altri cyberestorsionisti\u00a0hanno semplicemente eliminato i dati degli utenti<\/a>.<\/p>\n

Come una registrazione di un dominio ha sospeso l\u2019infezione \u2013 ma perch\u00e9 probabilmente non \u00e8 ancora finita<\/strong><\/h2>\n

Paradossalmente, un giovanissimo ricercatore chiamato Malwaretech\u00a0\u00e8 riuscito a bloccare l\u2019infezione<\/a>\u00a0registrando un dominio con un nome lungo e senza senso.<\/p>\n

Sembra che alcune versioni di WannaCry fossero indirizzate a questo dominio e se non ricevevano una risposta positiva, installavano l\u2019encryptor e iniziavano il loro sporco lavoro. Se invece veniva data una risposta (se cio\u00e8 il dominio era stato registrato), allora il malware bloccava la sua attivit\u00e0.<\/p>\n

Dopo aver trovato i riferimenti di questo dominio nel codice del Trojan, il ricercatore ha registrato il dominio e ha bloccato l\u2019attacco. Durante il resto del giorno, il dominio ha ricevuto decine di migliaia di richieste; questo vuol dire che sono stati risparmiati decine di migliaia di computer.<\/p>\n

Esiste una teoria secondo cui questa funzionalit\u00e0 \u00e8 stata integrata su WannaCry (come un interruttore di circuito) nel caso in cui qualcosa fosse andata male. Un\u2019altra teoria, sostenuta dello stesso ricercatore, afferma che questo \u00e8 un modo per complicare l\u2019analisi del comportamento del malware. Gli ambienti di prova utilizzati nelle ricerche sono spesso pensati in maniera tale che\u00a0qualsiasi<\/em>\u00a0altro dominio dia una risposta positiva; in casi del genere, il Trojan non farebbe nulla in quanto si trova all\u2019interno di tale ambiente.<\/p>\n

Purtroppo, per le nuove versioni del Trojan, tutti i criminali dovranno cambiare il nome del dominio indicato come \u201cinterruttore di circuito\u201d e le infezioni continueranno. Di conseguenza, \u00e8 molto probabile che l\u2019epidemia di WannaCry continui.<\/p>\n

Come difendersi contro WannaCry<\/strong><\/h2>\n

Sfortunatamente, al momento non c\u2019\u00e8 alcun modo per decriptare i file che sono stati criptati da WannaCry (ad ogni modo, i nostri ricercatori ci stanno lavorando). Per adesso, la prevenzione \u00e8 l\u2019unica speranza.<\/p>\n

Ecco qualche consiglio su come prevenire l\u2019infezione e minimizzare i danni.<\/p>\n