Istruzioni. WannaCry, attacco ransomware planetario: i fatti, i danni e come rimediare

WannaCry, attacco ransomware planetario: i fatti, i danni e come rimediare


Queste →istruzioni (→testo prescrittivo o regolativo) sono pubblicate sul blog di Paolo Attivissimo il Disinformatico,  il 12 e il 13 maggio 2017


2017/05/12 18:53. Da qualche ora è in corso un attacco informatico su una scala che, senza esagerazioni, si può definire planetaria. Sono stati colpiti ospedali, università, compagnie telefoniche, aziende in almeno 70 paesi: in pratica, chiunque sia stato così idiota da non aggiornare i propri sistemi. Eh sì, perché la correzione di Windows che rende immuni a questo attacco è già disponibile da mesi. Non c’è niente di speciale o di imprevedibile in quest’incursione ricattatoria.

La tecnica è la solita: ransomware. In altre parole, i computer vengono infettati e i dati che contengono vengono cifrati con una password nota solo ai criminali. Per avere questa password bisogna pagare un riscatto. Se volete leggere il resoconto di un caso concreto che ho seguito, eccolo.

Il malware è stato denominato WanaCrypt0r 2.0 o WCry/WannaCry. La patch di aggiornamento di Windows da installare per bloccarlo è la MS17-010, disponibile da marzo scorso.

Ripeto: la patch è disponibile da marzo. Se non avete aggiornato i vostri computer, ve la siete cercata.

Aggiornerò questo articolo man mano che avrò novità. Adesso piantatela di leggere e andate immediatamente a patchare. Se non potete patchare, spegnete e scollegate i vostri computer Windows. E raccomandate la vostra anima alla vostra divinità preferita.


2017/05/13 09:00. Durante la serata e la notte ho raccolto un po’ di informazioni per rispondere alle domande più frequenti. Le trovate qui sotto.

Cosa posso fare per difendermi?

1. Aggiornate il vostro Windows per installare gli aggiornamenti correttivi (patch). Se non sapete come fare, chiedete a qualcuno che lo sa. Microsoft ha radunato tutte le patch per le varie versioni di Windows qui (spiegone).

2. Aggiornate il vostro antivirus. Praticamente tutti gli antivirus sul mercato riconoscono ormai questo malware.

3. Fate un backup di tutti i vostri dati e scollegatelo dalla rete locale.

4. Chiedetevi perché non avete fatto queste cose prima d’ora e perché c’è voluto un disastro planetario per farvele fare.

5. Come regola generale, non aprite allegati nelle mail senza averli prima controllati con un antivirus aggiornato (anche se questo ransomware non usa la mail per propagarsi, gli altri lo fanno).

6. Disabilitate SMB 1.0 come descritto qui.

7. Controllate di non avere condivisioni SMB aperte che si affacciano a Internet, incluse quelle su VPN.

8. Se avete un computer infetto, non collegatelo alla rete locale; tenterà di infettare tutti gli altri computer della rete.

9. Se siete responsabili della sicurezza di una rete, consentite il libero accesso a questo URL per bloccare l’attacco (per ragioni descritte qui sotto): www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Sono stato colpito e i miei dati sono cifrati. Cosa posso fare?

1. Se avete un backup recente dei dati, usatelo per ripristinarli.

2. Se scoprite che anche il backup è cifrato (perché poco furbamente fate i backup su un disco di rete invece che su supporti fisicamente rimovibili), avete solo due possibilità: tentare di ricostruire da capo i dati cifrati oppure pagare il riscatto, sperando che i criminali vi diano davvero la chiave di decifrazione. Non sono al corrente di vittime che abbiano pagato il riscatto, abbiano ottenuto la chiave di decifrazione e siano riusciti a recuperare i propri dati. Tutte le società di sicurezza informatica sconsigliano di pagare, perché questo alimenta e incentiva attacchi di questo genere.

Non uso Windows, sono al sicuro?

Il malware colpisce soltanto sistemi Windows e soltanto se non aggiornati. Se usate MacOS, Linux, Android, Windows Phone, iOS, ChromeOS o qualunque altro sistema operativo diverso da Windows non avete problemi.

Naturalmente se il vostro lavoro o i vostri dati dipendono da qualcun altro che ha computer Windows vulnerabili, potreste avere problemi lo stesso.
Quali versioni di Windows sono vulnerabili?

Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 e R2, Windows 10, e Windows Server 2016 se non sono stati aggiornati da marzo scorso.

Windows XP è vulnerabile ma non è più supportato da Microsoft da aprile 2014. Se lo usate ancora su un computer connesso a Internet, come il servizio sanitario britannico, state cercando guai. In via eccezionale, Microsoft ha comunque rilasciato una patch anche per XP

Come faccio a sapere se il mio Windows è aggiornato e quindi immune?
Se avete gli aggiornamenti automatici di Windows e una versione recente di Windows, siete a posto. Se avete Windows 10 Creators Update, siete immuni a questo problema.

Su Windows 7 e 8, andate a Pannello di controllo – Programmi – Programmi e funzionalità – Visualizza aggiornamenti installati. Su Windows 10 (da Anniversary Update in poi), date un’occhiata a Impostazioni – Aggiornamenti e sicurezza – Windows Update – Cronologia. Per le versioni pre-Anniversary Update di 10 vale la procedura descritta per Windows 7 e 8. Grazie a Ruggio81 per queste info. Se siete tecnici e sapete usare Metasploit, ci sono delle  istruzioni apposite; oppure potreste usare il Microsoft Baseline Security Analyzer.

 

Come si diffonde l’attacco?

Il malware si propaga da solo da una rete locale all’altra via Internet cercando e sfruttando le condivisioni di rete SMB (Samba) maldestramente rivolte verso Internet: questo è quello che emerge dall’analisi fatta da Malwarebytes (v. sezione “SMB vulnerability leveraged to spread ransomware worldwide”). Non è necessaria alcuna azione da parte dell’utente.

Quando il malware riesce a insediarsi in un computer di una rete locale, cerca di propagarsi agli altri computer della rete usando di nuovo le condivisioni SMB e sfruttandone la vulnerabilità già citata. Basta quindi che in un’azienda s’infetti un singolo computer Windows per rischiare di infettare tutti gli altri computer Windows non aggiornati presenti sulla stessa rete locale.

Alcune delle fonti citate in fondo a questo articolo ipotizzano per ora che l’intrusione iniziale possa avvenire (anche) in modo classico, attraverso una mail contenente un allegato infettante oppure una pagina Web contenente codice ostile.

Va notata la scelta del momento per l’attacco: nel pomeriggio di venerdì in Europa, quando gli addetti alla sicurezza di molte aziende hanno già lasciato il posto di lavoro o lo stanno per lasciare e appena prima dei backup di fine settimana, in modo da massimizzare il danno.

Dopo alcune ore, la società di sicurezza informatica Malwaretech ha preso il controllo (sinkhole) di uno dei domini citati nel malware:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Malwaretech ha scoperto poi (e raccontato magnificamente qui) che questo dominio veniva utilizzato dai criminali come riferimento per la gestione del malware: se esiste ed è accessibile, il malware non effettua cifratura, come spiegato qui da Malwarebytes; se il malware non riesce a raggiungere questo sito, prosegue la propria opera distruttiva. Il sito è probabilmente usato come test dal malware per sapere se sta girando in una sandbox (ambiente di test) o su un computer reale: è una tecnica usata spesso in questo campo.

Il risultato è che al momento un computer vulnerabile si può ancora infettare ma l’infezione non cifra più i dati, per cui l’attacco per ora è stato in gran parte neutralizzato da Malwaretech grazie a un colpo di fortuna e alle tecniche dilettantesche usate dai criminali. Ma se non installate gli aggiornamenti correttivi, nulla impedisce ad altri criminali di ritentare con una versione di malware più robusta.

Il mio antivirus rileverà l’attacco?

Se è aggiornato, molto probabilmente sì.

Quali paesi/enti sono stati colpiti? C’è una mappa?

Nel Regno Unito sono stati colpiti in particolare l’intero sistema sanitario nazionale (costretto a sospendere tutte le attività non urgenti; sono coinvolti ospedali, cliniche, ambulatori, anche a livello dei centralini telefonici; si prevede una paralisi di vari giorni) e la Nissan.

In Francia è stata colpita la Renault.

In Slovenia il malware ha bloccato la produzione dello stabilimento Renault.

In Spagna hanno avuto gravi problemi la compagnia telefonica spagnola Telefónica e altre aziende nel settore dell’energia (Iberdola e Gas Natural).

Negli Stati Uniti anche FedEx è stata colpita.

In Russia ci sono segnalazioni di problemi presso banche (Sberbank, VTB) e ferrovie (RZD).

Sono segnalate infezioni in Russia, Turchia, Germania, Vietnam, Filippine, Italia, Cina, Ucraina, Stati Uniti, Argentina e altri paesi, per un totale di almeno 74 paesi secondo la BBC.

La Svizzera è stata sostanzialmente risparmiata, grazie anche all’informativa diramata da MELANI (la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione).

Il New York Times parla di 45.000 attacchi (e presumibilmente altrettante infezioni). Su Malwaretech.com c’è una mappa animata.

Se cercate su Google intitle:”index of” “WNCRY” troverete un elenco di siti colpiti.

 

837total visits,1visits today