Ransomware WannaCry, analisi del virus che ha infettato migliaia di PC

Da inizio maggio un nuovo virus ha cominciato ad aggirarsi per internet pressoché indisturbato: si tratta di una minaccia che già dal nome prometteva scompiglio, evento che di sicuro non si è fatto attendere. Stiamo parlando di Ransomware WannaCry, il ransomware ibrido che, grazie alla sua capacità di autoriprodursi si propaga anche attraverso reti di computer, anche offline.

Se volete saperne più nel dettaglio, date un’occhiata anche al nostro video sul nostro canale Youtube Flash Time.

Si stima che siano stati colpiti centinaia di migliaia di computer in oltre 99 paesi a livello mondiale tra cui anche l’Italia, ma fortunatamente in un numero molto limitato. Infatti, citando un articolo di Repubblica “Per ora si è scoperto che sono stati infettati 4-5 computer di un laboratorio per studenti nell’edificio U14, quello che ospita il dipartimento di informatica.” specificando però, che “L’ipotesi è che i PC siano stati infettati tramite una chiavetta USB, che a sua volta si sarebbe infettata fuori dall’Università e che poi ha “trasmesso” il virus ai PC universitari.” non è andata altrettanto bene all’estero dove, in alcuni casi, si è dovuta fermare l’erogazione di servizi a causa del virus.

 

Conosciuto anche sotto altri nomi (WCRY, WanaCrypt0r, WannaCrypt, WCry) sfrutta inizialmente lo stesso vettore usato dalla maggioranza dei malware, ossia si affida alla fiducia dell’utente che, ignaro, scarica ed apre un file contenente il programma (o dropper) procedendo in questo modo al download del ransomware vero e proprio. Grazie a questo escamotage il virus passa inosservato agli “occhi” degli antivirus. La novità di WannaCry però, è un’altra: all’interno dello stesso infatti, è stato creato un software in grado di trovare nei computer una falla ben precisa: la vulnerabilità di tipo CVE-2017-0145 che riguarda il SMB (Service MessageBlock).Da qui, si ritiene che l’NSA abbia creato un exploit chiamato EternalBlue, che il collettivo di hacker “The Shadow Brokers” ha pubblicato ad aprile 2017.

 



Una volta attivato il dropper, WannaCry cerca di collegarsi a due domini inventati che funzionano come una sorta di interruttore per il virus; si attiva solamente nel caso in cui la connessione a uno dei due indirizzi non vada a buon fine. Per tanto,dato che non esistono, si scarica direttamente il software e si procede alla criptazione dei file. In questo processo è intervenuto un ricercatore indipendente, Marcus Hutchins che ha semplicemente registrato i due domini, rallentando, in questo modo, la propagazione dell’infezione.Tutto ciò che è contenuto nel terminale assume l’estensione di .WNCRY e diventa non più accessibile. Per verificare l’integrità dei virus però, una demo permette la visione di alcuni documenti; nel frattempo il ransomware procede con l’eliminazione di tutte le copie shadow di sistema (in passato queste erano state usate per evitare di pagare il riscatto).

L’unico file eseguibile è @Please_Read_Me@ e porta alla richiesta vera e propria. Il riscatto, da pagare in bitcoin, ammonta a 300 dollari. Perché con questa valuta? Perché non è tracciabile e quindi garantisce l’anonimato più completo. Dopo aver effettuato il pagamento, i file vengono decriptati e sono di nuovo a disposizione dell’utente. Già a marzo, Microsoft aveva pubblicato una patch per poter sopperire al problema della vulnerabilità, ma dopo quest’ultimo attacco, ha  dovuto modificare ulteriormente la patch per renderla funzionante anche su versioni di Windows più obsolete.

Dato che dall’inizio dell’attacco è passato un po’ tempo, sono nati e sono disponibili in rete, alcuni strumenti gratuiti creati appositamente per evitare di pagare la somma richiesta, come ad esempio Wanakiwi. Questo tool riesce (a patto di non aver riavviato il computer dopo l’infezione) ad accedere ai file e ad inserire la chiave corretta per poter bloccare il virus, consentendo allo stesso tempo di proteggersi da altri attacchi simili.Anche l’Europool consiglia questo strumento: tramite Twitter ha informato gli utenti dell’esistenza di un metodo alternativo per sbloccare il proprio computer.

Fonte ViaViaVia  – Via – Via

Lasciateci un commento qui sotto e fateci sapere le vostre opinioni sul Ransomware WannaCry.

COMMENTS

DISQUS: 0