A partire dal 12 maggio, un enorme attacco informatico ransomware soprannominato WannaCry si è diffuso sul Web, crittando i file di dati delle vittime in oltre 150 paesi. Il malware di estorsione ha colpito migliaia di individui e importanti istituzioni del mondo come FedEx o National Health Services nel Regno Unito, Telefonica in Spagna, Renault in Francia e persino la polizia di stato in India.

I computer crittati visualizzano richieste di riscatto in bitcoin del valore di centinaia di dollari, senza alcuna garanzia che i file verranno sbloccati.

Come si diffonde WannaCry?

La straordinaria velocità di WannaCry ha colto tutti di sorpresa con una diffusione in centinaia di migliaia di computer infetti nell'arco di poche ore. Una velocità e una portata simili sono dovute a un paio di fattori:

Prima di tutto, a differenza del ransomware di natura "botanica", che si diffonde attraverso siti Web o allegati email infetti, WannaCry integra anche gli elementi di un worm. I worm per computer non si diffondono infettando i file, come i virus, bensì tramite le reti, cercando vulnerabilità negli altri computer connessi. Quando un malware infetta un computer in una rete, è in grado di infettare tutti gli altri. 

WannaCry usa un exploit di Windows presumibilmente scritto dalla NSA (National Security Agency) 

In secondo luogo, il worm di WannaCry utilizza un exploit presumibilmente sviluppato dalla NSA e divulgato al pubblico tramite l'organizzazione hacker The Shadow Brokers. L'exploit va a caccia di una vulnerabilità nel protocollo SMB (Server Message Block) di Windows utilizzato dai dispositivi per comunicare su una rete condivisa. Nello specifico, ha cercato un PC in cui la porta Samba TCP 445 fosse accessibile.

Fino alla divulgazione, l'exploit era sconosciuto al mondo intero (una minaccia zero-day) e Microsoft ha potuto rilasciare una patch attinente solo a marzo. Tuttavia sono ancora milioni gli utenti che devono installare le patch e le versioni precedenti di Windows non più supportate da Microsoft non hanno nemmeno ricevuto richieste di aggiornamento. Da allora Microsoft ha reso disponibili le patch anche per i sistemi precedenti. Se esegui Windows 8 o versioni precedenti, installale urgentemente.

Adesso che il vaso di Pandora è stato scoperchiato, possiamo aspettarci di vedere nuove varianti di questo ransomware.

Quale è stato l'impatto dell'attacco?

In base ai nostri dati, i paesi più colpiti sono (in ordine): Russia, Ucraina, Taiwan, India, Brasile, Tailandia, Romania, Filippine, Armenia e Pakistan. Oltre la metà dei tentativi di attacco registrati si sono verificati in Russia.

Anche le grandi istituzioni sono state pesantemente colpite, soprattutto gli ospedali e altri servizi pubblici. Molti si affidano a sistemi obsoleti e non sono in grado di eseguire gli aggiornamenti.

In molti però non sono riusciti a installare le patch di sicurezza rilasciate a marzo. Per le versioni precedenti di Windows non più supportate da Microsoft, fino al weekend dell'attacco non erano nemmeno disponibili le patch di sicurezza da installare. 

Il mio computer rischia di subire un attacco WannaCry?

Se esegui un computer Windows, sei potenzialmente vulnerabile al ransomware. Ecco alcune delle operazioni da eseguire immediatamente per mantenere la protezione:

  1. Aggiorna il sistema operativo Windows con le più recenti patch di sicurezza

    Microsoft ha rilasciato gli aggiornamenti di sicurezza di Windows per questa vulnerabilità al momento della violazione da parte di Shadow Brokers a marzo. La criticità della situazione era tale che sono state rilasciate patch di sicurezza per le versioni di Windows per cui non è più previsto il supporto, come Windows XP e Vista (disponibili qui).

    Tuttavia, milioni di utenti hanno ignorato questi aggiornamenti. Non fare come loro.
  2. Se non lo hai già fatto, installa un antivirus aggiornato

    L'exploit della NSA è stato rapidamente riprogettato per finalità illegali. Pertanto affidarsi alle patch di sicurezza di Microsoft per gli attacchi non è sufficiente. È probabile che sia attualmente in fase di sviluppo una nuova variante. Un buon programma antivirus dotato di funzionalità anti-ransomware è fondamentale per cogliere le costanti evoluzioni delle minacce ransomware.
  3. Inizia a eseguire backup del PC

    Probabilmente, come la maggioranza degli utenti, hai già sentito questo consiglio e lo hai ignorato. Tuttavia, visti i prezzi convenienti dei dischi rigidi esterni e la facilità delle operazioni di backup, non c'è motivo per non averne uno. I backup settimanali sono più che sufficienti per gran parte degli utenti e consentono di evitare fastidiosi grattacapi in caso di infezione.
  4. Stai sempre attento a collegamenti e email di phishing

    Se il componente worm di WannaCry ha contribuito alla diffusione, il punto di partenza sono stati i soliti collegamenti dannosi e le email di phishing. Accertati di controllare email e collegamenti prima di fare clic. Non sai cosa cercare? Abbiamo un test specifico.

AVG blocca WannaCry?

Sì. Tutti i prodotti di sicurezza AVG sono in grado di rilevare il ransomware WannaCry. Anche AVG AntiVirus FREE va oltre il rilevamento delle normali firme di codice e si concentra sull'effettivo comportamento delle applicazioni installate. Anche se non sa come sarà la prossima variante, saprà intercettarla non appena entrerà in azione.

Scarica AVG AntiVirus FREE

 

Sono stato infettato da WannaCry. Cosa devo fare?

Lo stesso fattore che rende tanto efficace il crittaggio quando viene utilizzato per proteggere le informazioni può trasformarlo in un problema quando utilizzato per finalità dannose. Se il computer è infetto dal ransomware WannaCry, devi metterti nell'ottica che potresti non recuperare più i tuoi dati. In caso di infezione, ecco qualche raccomandazione:

  1. Non pagare il riscatto

    Qualsiasi cosa accada, ti sconsigliamo di pagare il riscatto. Sappiamo che non è facile quando sono in gioco foto personali o file di lavoro importanti. Tuttavia non è garantito che i tuoi file vengano decrittati o che i criminali non scappino con i tuoi soldi.
    Non pagare mai il riscatto: non hai la garanzia di riavere indietro i file
    Pagando non faresti altro che contribuire a rendere ancora più allettanti queste dinamiche per i criminali. Qualsiasi contatto con gli autori degli attacchi offre inoltre altre possibilità di continuare a inondarti di malware.
  2. Disconnetti il computer da Internet

    Stacca la spina del router Wi-Fi e i cavi Ethernet dal computer. Isolalo dal Web il prima possibile. Ferma la diffusione del malware e la ricezione di istruzioni.
  3. Esegui il ripristino da un backup

    Se hai seguito le migliori pratiche e hai eseguito un backup su un disco rigido esterno, puoi usarlo per recuperare i dati. Accertati di ripulire completamente il sistema e di reinstallare del tutto Windows prima di connettere il backup al computer. Se possibile, disabilita l'accesso a Internet mentre il disco rigido di backup è connesso, non si sa mai.
  4. Esegui il ripristino da Dropbox, Google Drive o un altro sistema di archiviazione basato sul cloud

    Se hai eseguito il backup dei file tramite un archivio online, è possibile che i tuoi file locali siano stati crittati e quindi sincronizzati nel cloud. La prima cosa da fare è quindi annullare il prima possibile la sincronizzazione dello smartphone, del tablet o di qualsiasi altro dispositivo connesso al cloud.

    Successivamente accedi al servizio tramite un browser o un computer non infetto. Devi essere in grado di accedere alla cronologia delle versioni dei file e ripristinarli a uno stato precedente non crittato.
  5. Usa uno strumento di decrittaggio del ransomware

    Stiamo lavorando intensamente a uno strumento di decrittaggio in grado di ripristinare i file. Quando sarà pronto, lo troverai qui
AVG AntiVirus FREE Download GRATUITO