La notizia
Venerdi 12 maggio 2017 si è diffuso in rete una nuova variante di ransomware denominata WCry, WannaCry o WanaCrypt0r.
In 48 ore ha infettato oltre 200.000 computers in 150 differenti paesi bloccandone tutti i dati presenti.
In Francia Renault ha dovuto fermare le proprie catene di montaggio, in Gran Bretagna sono stati sospesi migliaia di servizi legati al sistema sanitario colpito a largo raggio; in Germania sono state colpite le ferrovie e ancora Spagna, USA, Russia hanno avuto migliaia di macchine compromesse da questa minaccia informatica.
Oggi lunedì 15/05/17 si teme un aggravarsi della situazione con l’accensione di tutti i dispositivi rimasti spenti nel weekend.
Come funziona
A differenza dei suoi predecessori che utilizzavano come vettore una mail e richedevano un click su di un link per l’esecuzione del ransomware, WannaCry è stato in grado di installarsi autonomamente nelle macchine con sistema operativo Windows non aggiornate.
Questo perchè è in grado di sfruttare una vulnerabilità del sistema denominata “EternalBlue” che è stata corretta nel mese di marzo da Microsoft con la patch MS17-010 rilasciata per Windows 7, Windows 10 e Vista.
WannaCry una volta eseguito il proprio codice nell’unità infettata ne blocca con una password tutti i file e parallelamente tenta di infettare le cartelle condivise, le unità di rete delle quali il computer attaccato possiede le credenziali di accesso e gli eventuali spazi in cloud sincronizzati con la macchina infettata.
A fine operazione che avviene in background il ransomware presenta la classica richiesta estorsiva in cambio di una password di sblocco; ricordiamo che non è consigliato pagare per molteplici ragioni; primariamente perchè non si ha alcuna sicurezza che a pagamento ottenuto si riceva il codice di sblocco; secondariamente perchè si finanzierebbe l’evoluzione e la crescita di questo fenomeno.
Maggiori informazioni in lingua Inglese su sito Microsoft a questo indirizzo.
Mettersi in sicurezza: come fare
Nel caso in cui abbiate un sistema operativo Windows 10, Windows 7 o Vista occorre effettuare Windows Update (generalmente raggiungibile tramite START-> IMPOSTAZIONI -> AGGIORNAMENTO SICUREZZA -> WINDOWS UPDATE); se non risultano aggiornamenti da installare significa che siete già coperti altrimenti aggiornate immediatamente il sistema.
In data odierna Microsoft ha rilasciato la patch anche per i i sistemi non più supportati ovvero Windows Server 2003, Windows XP, Windows XP Embedded e Windows 8.
E’ inoltre consigliato mantenere sempre aggiornato anche il proprio software antivirus e soprattutto effettuare con regolarità backup dei dati e conservarli in luogo sicuro.
Chi fosse interessato ad approfondire il discorso legato alle nostre soluzioni di backup può fare riferimento all’articolo “Cryptolocker e soluzioni di Disaster Recovery” o contattarci per una consulenza tramite form.
Si raccomanda anche ulteriore cautela nell’apertura di link e/o allegati provenienti da email sospette.
Macchine già colpite dal ransomware
Ad oggi non esiste la possibilità concreta di recuperare dati crittati se non inserendo la password corretta; se la vostra macchina è stata colpita da una versione recente di queste minacce sarà anche inutile tentare di ripristinare i file tramite copie shadow o ripristini di sistema che non vi restituiranno i vostri documenti.
In rete troverete parecchi programmi (la quasi totalità a pagamento) che promettono il recupero ma consigliamo di evitare di cadere in una probabile truffa a meno che non si tratti di soluzioni proposte da case affidabili come Kaspersky, Symantec eccetera.
Consigliamo quindi la formattazione e reinstallazione totale del sistema ripartendo da zero avendo cura di fare prima di questa operazione un backup completo del disco fisso.
E’ difatti possibile che con il tempo vengano recuperati dagli organismi investigativi internazionali i meccanismi di decrittazione del ransomware e sia possibile una reversibilità del processo.