Ecco spiegato perché c’è da stare attenti: “vita, morte e miracoli” di questo ransomware.

Sono state già riscontrate numerose infezioni in ospedali inglesi ed aziende da ogni parte del mondo.

Anche l’Università di Milano Bicocca è stata infettata dal ransomware

Dettagli generali

Il ransomware in questione sfrutta le vulnerabilità corrette e specificate nel bollettino MS17–010 rilasciato a Marzo scorso. Se non l’avete ancora fatto, aggiornate subito la vostra edizione di Windows. In questo modo sarete immuni da ogni infezione.

Sono colpite tutte le edizioni di Windows. La patch, fortunatamente, è stata rilasciata anche da Windows XP (fonte) e si trova su “UpdateCatalog”, sito ufficiale di Microsoft per gli aggiornamenti.

I criminali hanno sfruttato la falla che era stata già diffusa ubblicamente dall’informatico Laurent Gaffié  e pochi giorni prima del programmato rilascio della patch correttiva di Febbraio, che alla fine però non è stata mai pubblicata.

La stessa falla è stata sfruttata in uno strumento dell’NSA chiamato EternalBlue/DoublePulsar, che dopo essere stato scoperto è stato reso pubblico ed analizzato da Shadow Brokers.

Sembra che il ransomware si comporti come un worm: entra nella rete locale e poi inizia ad infettare tutti i computer connessi.

Il ransomware installa di nascosto anche una backdoor di nome Doublepulsar.

Il riscatto chiesto dai criminali è 300 dollari, che diventano 600 dollari in caso di mancato pagamento.

Come potete notare dalla cartina, ci sono state moltissime infezioni in Russia , Ucraina e Taiwan ed un numero uniforme in Europa e negli Stati Uniti.

Altra cosa da notare: il messaggio è multilingua ed è compreso anche l’Italiano.

Ecco le note di spiegazione che il ransomware presenta:

Questo file si chiama @Please_Read_Me@.txt

Aggiornamenti sulla situazione

Alle 10:31 del 13 maggio 2017 le infezioni erano diffuse in questo modo, colpendo molto di più anche tutta l'Europa.

Alle 10:21 del 13 maggio 2017

Trovate la versione in tempo reale qui:

Wcrypt Tracker
Sviluppato da malwaretech su intel.malwaretech.com

Anche una stazioen di Francoforte è stata infettata.

Per gli esperti, ecco gli hashes di WannaCrypt:

La sua estensione, quella con cui cripta i files, è .wncry.

Portafogli Bitcoin

Con relativo collegamento a Blockchain

Disabilitare SMB per proteggersi

Per chi non può aggiornarsi, è possibile anche disabilitare SMB.

Bisogna fare click sul pulsante Windows, poi selezionare “Programmi e funzionalità”, cliccare su “Attiva o disattiva funzionalità di Windows” ed infine togliere la spunta a SMB.

Microsoft da una guida ufficiale per disattivare SMB con comandi da eseguire in Powershell.

Windows 8 e Windows Server 2012

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB1Protocol $false

Per disattivare SMBv2 e SMBv3 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB2Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008

Per disattivare SMBv1 nel server SMB, eseguire il seguente codice:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

Per disattivare SMBv2 e SMBv3 nel server SMB, eseguire il seguente cmdlet:

Set-ItemProperty-percorso “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2-tipo DWORD-valore 0 — forza

Secondo Kaspersky, la disattivazione dell’SMB non dà immunità completa. Infatti, la vulnerabilità SMB risulta essere la maggiore causa di diffusione ma non l’unica. L’unica via per risolvere definitivamente il problema è fare regolarmente un backup prima dell’infezione e poi scollegarlo dalla rete e dal computer. Oltre a non aprire mai allegati senza averli scannerizzati con antivirus.

Crittografia e propagazione

Tipologie di file criptati

L’elenco estensioni di file criptati si trova qui.

Dettagli della crittografia

Si tratta di crittografia AES-128 con una chiave AES generata con CSPRNG, CryptGenRandom. La chiave è poi criptata da RSA-2048.

Come si propaga il virus

Il virus si propaga esclusivamente con SMB da rete locale a rete locale con connessioni aperte. Anche tramite VPN.

Altri aggiornamenti

Un tweet, ora cancellato, diceva:

In Italiano, dice che le chiavi di decriptazione fossero contenute nel computer infettato. Il tweet è stato cancellato e, ad oggi, non è stato trovato modo di decriptare.

Dominio acquistato, diffusione fermata

Dei ricercatori informatici hanno scoperto annidato nel codice del malware una “tasto STOP", in inglese definito un “killswitch”. Nel caso in cui fosse stato registrato un determinato dominio ed il malware l’avesse trovato attivo, avrebbe subito smesso di criptare dati.

I ricercatori hanno registrato questo dominio ed ora la diffusione si è fermata. Potrebbe però riprendere da un momento all’altro con un codice modificato.

Trovate dettagli tecnici qui.

Il numero delle infezioni è comunque alto. Ecco la mappa di oggi a confronto con quella di ieri fornita da Malwaretech.

Ieri sera ore 21:00 contro oggi ore 10:21 (Credits: malwaretech)

Ripresa delle infezioni

È possibile che ci sia in giro una variante di WannaCry senza killswitch. Questo sarebbe davvero grave perché non ci sarebbe modo veloce per fermare le infezioni (in attesa dei ricercatori informatici).

Stare sempre attenti

Qualsiasi PC con quella vulnerabilità, se connesso ad Internet, verrebbe infettato in meno di tre minuti. Il killswitch aiuta ma non risolve completamente il problema. Bisogna quindi procedere subito ad aggiornare con le patch più recenti.

È stato creato un account twitter che segnala tutti i pagamenti fatti ai creatori del ransomware.

actual ransom (@actual_ransom) | Twitter
The latest Tweets from actual ransom (@actual_ransom). This bot is watching the three bitcoin wallets tied to the #wcry…twitter.com

I proprietari molto probabilmente convertiranno i bitcoin in Monero, crittovaluta non tracciabile.


Fonti: tutti i tweet presenti nell’articolo, Paolo Attivissimo (disinformatico.info), resoconto completo su Gist, Microsoft, The Guardian.

Articolo sotto licenza CC-BY 4.0 — Internazionale (escluse immagini).