Giuseppe Graziano “WannaCry”, detto anche “WanaCryptor” o “WanaCrypt0r” è un ransomware che nel weekend ha colpito migliaia di computer in tutto il mondo. Numerose organizzazioni a livello mondiale sono state colpite da questo tipo di malware che ha utilizzato e sta utilizzando il protocollo SMB (Server Message Block) per propagarsi nei PC con Windows all’interno delle reti aziendali.
Cos’è un ransomware
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.
I ransomware tipicamente si diffondono come i trojan, dei malware worm, penetrando nel sistema attraverso, ad esempio, un file scaricato o una vulnerabilità nel servizio di rete. Il software eseguirà poi un payload, che ad esempio cripterà i file personali sull’hard disk.
Quelli più sofisticati utilizzano sistemi ibridi di criptazione (che non necessitano di condivisione di chiavi fra i due utenti) sui documenti della vittima, adottando una chiave privata casuale e una chiave pubblica fissa. L’autore del malware è l’unico a conoscere la chiave di decriptazione privata. Queste tattiche forzano l’utente a pagare l’autore del malware per rimuovere il ransomware, sia con un programma che decritti i file criptati, sia con un codice di sblocco che elimini le modifiche fatte dal malware.
Modalità di difesa
Per difendersi dall’attacco di un rasonmware, oltre ad eseguire frequenti e sicuri backup (memorizzando le copie sui dispositivi di archiviazione non costantemente connessi al computer) al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:
- eseguire l’aggiornamento di sistemi operativi della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;
- aggiornare il software antivirus
- disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP).
- il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
- il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.
