Categorie
Informatica

WannaCry: tutto quello che c’è da sapere su questo ransomware

Ecco spiegato perché c’è da stare attenti: “vita, morte e miracoli” di questo malware.

Ecco il messaggio visualizzato dal ransomware

Sono state già riscontrate numerose infezioni in ospedali inglesi ed aziende da ogni parte del mondo.

Ecco un esempio di infezione:

https://twitter.com/fendifille/status/862997621039878145

Anche l’Università di Milano Bicocca è stata infettata dal ransomware

Dettagli generali

Il ransomware in questione sfrutta le vulnerabilità corrette dal bollettino MS17–010 rilasciato a Marzo scorso. Se non l’avete ancora fatto, aggiornate subito la vostra edizione di Windows. In questo modo sarete immuni da questo problema. Alla fine dell’articolo ulteriori dettagli.

Sono colpite tutte le edizioni di Windows. La patch, fortunatamente, è stata rilasciata anche da Windows XP (fonte) e si trova su “UpdateCatalog”, sito ufficiale di Microsoft.

I criminali hanno sfruttato la falla che era stata già pubblicata dall’informatico Laurent Gaffié pochi giorni prima del programmato rilascio della patch correttiva di Febbraio, mai pubblicata.

La stessa falla è sfruttata in uno strumento dell’NSA chiamato EternalBlue/DoublePulsar, che è stato reso pubblico ed analizzato. Una precisazione, lo strumento è stato pubblicato da Shadow Brokers e non da WikiLeaks.

Sembra che il ransomware si comporti come un worm. Entra nella rete locale e poi inizia ad infettare tutti i computer connessi.

Il ransomware installa di nascosto una backdoor di nome Doublepulsar.

Il prezzo fissato dai criminali è 300 dollari, che aumentano a 600 dollari nel caso di mancato pagamento.

Come potete notare dalla cartina, ci sono state moltissime infezioni in Russia , Ucraina e Taiwan ed un numero uniforme in Europa e negli Stati Uniti.

C’è da notare che il messaggio è multilingua ed è compreso anche l’Italiano:

Ecco le note di spiegazione che il ransomware presenta:

Questo file si chiama @Please_Read_Me@.txt

Ecco un’altra mappa aggiornata sulla situazione:

Alle 10:21 del 13 maggio 2017

Trovate la versione in tempo reale qui:

Nel frattempo, ritroviamo il ransomware anche a Francoforte, sul tabellone di una stazione, il che significa che l’intera rete è stata infettata.

Per gli esperti, ecco gli hashes di WannaCrypt:

https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974ahttps://www.youtube.com/watch?v=ZpFAM8Vk3tA

La sua estensione, quella con cui cripta i files, è .wncry.

Portafogli Bitcoin

Con relativo collegamento a Blockchain

Disabilitare SMB per proteggersi

Per chi non può aggiornarsi, è possibile anche disabilitare SMB.

https://twitter.com/guentherishere/status/863113096314839040

Bisogna fare click sul pulsante Windows, poi selezionare “Programmi e funzionalità”, cliccare su “Attiva o disattiva funzionalità di Windows” ed infine togliere la spunta a SMB.

Microsoft da una guida ufficiale per disattivare SMB con comandi da eseguire in Powershell.

Windows 8 e Windows Server 2012

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB1Protocol $false

Per disattivare SMBv2 e SMBv3 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB2Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008

Per disattivare SMBv1 nel server SMB, eseguire il seguente codice:

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Type DWORD -Value 0 -Force

Per disattivare SMBv2 e SMBv3 nel server SMB, eseguire il seguente cmdlet:

Set-ItemProperty-percorso “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB2-tipo DWORD-valore 0 — forza

Secondo Kaspersky, la disattivazione dell’SMB non dà immunità completa. Infatti, la vulnerabilità SMB risulta essere la maggiore causa di diffusione ma non l’unica. L’unica via per risolvere definitivamente il problema è fare regolarmente un backup prima dell’infezione e poi scollegarlo dalla rete e dal computer. Oltre a non aprire mai allegati senza averli scannerizzati con antivirus.

Crittografia e propagazione

Tipologie di file criptati

L’elenco estensioni di file criptati si trova qui.

Dettagli della crittografia

Si tratta di crittografia AES-128 con una chiave AES generata con CSPRNG, CryptGenRandom. La chiave è poi criptata da RSA-2048.

Come si propaga il virus

Il virus si propaga esclusivamente con SMB da rete locale a rete locale con connessioni aperte. Anche tramite VPN.

Aggiornamenti

Una speranza?

Un tweet, ora cancellato, diceva:

In Italiano, dice che le chiavi di decriptazione fossero contenute nel computer infettato. Il tweet è stato cancellato e, ad oggi, non è stato trovato modo di decriptare.

Dominio acquistato, diffusione fermata

Dei ricercatori informatici hanno scoperto annidato nel codice del malware una “zattera di salvataggio” (oppure un “tasto STOP”) chiamato in gergo “killswitch”. Nel caso in cui fosse stato registrato un determinato dominio (ed il malware l’avesse trovato attivo), il malware avrebbe smesso di criptare dati.

I ricercatori hanno registrato questo dominio ed ora la diffusione si è fermata. Potrebbero riprendere da un momento all’altro con un codice modificato.

Trovate dettagli tecnici qui.

Il numero delle infezioni è comunque alto. Ecco la mappa di oggi a confronto con quella di ieri fornita da Malwaretech.

Ieri sera ore 21:00 contro oggi ore 10:21 (Credits: malwaretech)

Ripresa delle infezioni

È possibile che ci sia in giro una variante di WannaCry senza “kill-switch” (la “zattera di salvataggio” descritta prima). Questo sarebbe davvero grave perché non ci sarebbe modo veloce per fermare le infezioni (in attesa dei ricercatori informatici).

Stare sempre attenti

Qualsiasi PC con quella vulnerabilità, se connesso ad Internet, verrebbe infettato in meno di tre minuti. Il killswitch aiuta ma non risolve completamente il problema. Bisogna quindi procedere subito ad aggiornare con le patch più recenti.

È stato creato un account twitter che segnala tutti i pagamenti fatti ai creatori del ransomware.


Fonti: tutti i tweet presenti nell’articolo, Paolo Attivissimo (disinformatico.info), resoconto completo su Gist, Microsoft, The Guardian.

Articolo sotto licenza CC-BY 4.0 — Internazionale (escluse immagini).

Categorie
Informatica Opinioni

La piaga del ransomware

Oggi questo articolo di Paolo Attivissimo mi ha ricordato che il problema ransomware c’è e si fa sentire spesso.

Il mio primo impatto con il ransomware è stato devastante. Mi sono sentito male io per l’altra persona che si è trovata con tutti i dati crittografati.

Il ransomware non ti dà possibilità di scampo. L’unico modo per risolvere definitivamente il problema è pagare il riscatto, ma non cedere, perché altrimenti si farebbe il gioco dei criminali, che in alcuni casi non rispettano neanche le proprie promesse.

Se nessuno di noi pagasse, i criminali non sarebbero più interessati a produrre malware del genere. Purtroppo però c’è gente che paga.

Perdere tutti i dati non è un’esperienza molto bella per un’azienda. Ce lo racconta l’articolo di Attivissimo, ce lo racconta la nostra esperienza personale.

Se siamo fortunati, ma molto molto molto, i dati sono decrittabili gratuitamente con un decryptor, nella maggior parte dei casi però non c’è alcun decryptor.

Qui si presentano due alternative:A) Salvare i dati su un Hard Disk (poi resettare) ed attendere pazientemente che la chiave di sblocco venga resa disponibile

B) Resettare tutto se i dati non sono importanti e perderli per sempre

Pagare non è fattibile, a mio parere.Prima (ed inalcuni casi anche ora) i criminali chiedevano 2 Bitcoin (criptovaluta digitale di cui parleremo in seguito) per sbloccare tutti i dati, ora ne chiedono molti di meno ovviamente, per un semplice motivo. Fino a due anni fa un bitcoin valeva 250 euro. Sono rimasto anche io stupito quando ho visto la variazione del prezzo della criptovaluta. È arrivata a 1200 euro.

Come potete vedere, tempo fa il bitcoin valeva 200 euro. Ora ne vale 1.200

Di certo è stata una gioia per gli investitori, ma non per chi è stato colpito dalla piaga del ransomware, perché il riscatto ovviamente andrà sempre ad aumentare.

Sotto, invece, la favoletta dell’azienda colpita da ransomware, in esclusiva per voi, da far leggere a vostra nonna/nonno.

La storia dell’azienda colpita da Ransomware

Oggi un’azienda può essere distrutta in 30 secondi. Bastano: un impiegato sprovveduto ed un computer.

Immaginiamo una situazione tipo: l’impiegato entra alle 8:00 nell’ufficio. Annoiato, decide di leggere la posta elettronica aziendale e trova una mail con titolo Fattura e con testo:

Gentile nome.cognomeeco la sua fattura in allegato.Apri file fattura.js per leggere la fattura.

L’impiegato, noncurante, apre felicemente la sua fattura, ma il documento non è che un insieme di parole strane (oppure non si apre nulla). Il nostro impiegato, scontento, riprende la normale lettura della posta.

Un’ora dopo, l’azienda è in crisi.

Il direttore non sa che cosa deve fare, visto che tutti i documenti aziendali sono illeggibili ed i computer sono bloccati con una richiesta in Inglese, che più o meno dice questo:

Il tuo computer è bloccato. Tutti i file saranno criptati e illeggibili fin quando non pagherai un riscatto di 1200 euro in Bitcoin.

Tutti chiamano l’informatico di turno, che riferisce l’amara verità: non è possibile riottenere i dati.

L’azienda, ora, ha due possibilità:

1. Pagare

2. Non pagare e perdere i dati.

Mettiamo che la nostra azienda decida sventuratamente di pagare.

Procede ad inviare i Bitcoin all’indirizzo richiesto. Aspetta un’ora, due ore, tre ore, quattro ore, cinque ore, dieci ore, ventiquattro ore.

Niente. Il codice di sblocco non arriva. Non arriverà mai.

I criminali sono stati così subdoli da non mandare il codice di sblocco. All’azienda non resta altro che conservare i dati in un Hard Disk in attesa di un prossimo rilascio della chiave da parte di esperti informatici.

Ci sono voluti 30 secondi per far partire lo script. Ci vorrà molto lavoro per far ripartire l’azienda, che molto probabilmente fallirà a causa della perdità di tutti i file più importanti.

Per questo, l’unico modo per salvarsi sempre è fare il backup. Sempre il backup, continuamente, alternato tra dischi diversi, sia in ambito enterprise che in ambito personale. Il backup è quella cosa che andava fatta prima, è vero, ma è anche quella cosa che si può fare adesso.

“Ransomware is unique among cybercrime because in order for the attack to be successful, it requires the victim to become a willing accomplice after the fact”— James Scott