martedì 16 maggio 2017

Ransomware WannaCry: Come proteggersi

L'attacco informatico eseguito dal ransomware WannaCry (conosciuto anche con i nomi WanaCrypt0r 2.0 o WCry/WannaCry) è di carattere planetario. Il ransomware sfrutta una tecnica utilizzata da EternalBlue/DoublePulsar, uno strumento d'intrusione sviluppato dalla NSA che è stato trafugato e diffuso da alcune organizzazioni criminali. Il malware si diffonde da una rete locale all'altra attraverso Internet sfruttando le condivisione di rete SMB (SAMBA), generalmente attiva di default sui sistemi Windows, pertanto se un PC è stato infettato scollegarlo dalla rete per scongiurare l'infezione di altre postazioni/dispositivi. L'infezione è stata al momento bloccata: WannaCry verifica la presenza di un particolare domino esterno (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) e se non lo trova o non riesce ad accedervi provvede ad infettare il sistema. Il dominio è stato di recente creato per fermare l'infezione ma altre varianti del malware sprovviste di tale controllo si stanno diffondendo.
Purtroppo questo attacco dimostra ancora una volta la scarsa considerazione della sicurezza da parte degli utenti ma soprattutto da parte di molte aziende: sono stati colpite dall'infezione Università, Ospedali, compagnie di telecomunicazioni e persino banche. La patch diffusa da Microsoft che sistema la falla sfruttata dal ransomware è la MS17-010 disponibile già da Marzo. 

I sistemi interessati dal ransomware sono Windows XP, Windows Vista SP2, Windows Server 2008, Windows 7, Windows 8-8.1, Windows Server 2012 e R2, Windows 10, Windows Server 2016 non aggiornati.


Oltre ad installare la patch è opportuno verificare la disabilitazione della funzionalità Supporto per condivisione file SMB 1.0/CIFS come indicato di seguito:
  • Da Windows premere la combinazione di tasti WIN+R e, nella finestra Esegui, digitare appwiz.cpl seguito da invio;
  • Sul lato sinistro della finestra cliccare su Attivazione o Disattivazione delle funzionalità di Windows

    Windows, Attivazione o disattivazione delle funzionalità di Windows
    FIG 1 - Windows, Attivazione o disattivazione delle funzionalità di Windows
  • Dall'elenco togliere la spunta alla voce Supporto per condivisione file SMB 1.0/CIFS (SMB1.0/CIFS File Sharing Support) e confermare cliccando su OK

    Supporto per condivisione file SMB 1.0/CIFS
    FIG 2 - Supporto per condivisione file SMB 1.0/CIFS

Per proteggersi da gran parte di virus/ransomware basta seguire pochi e semplici passaggi:
  • Tenere sempre il sistema operativo aggiornato. Windows può essere aggiornato sia tramite il tool integrato nel sistema sia installando le patch di sicurezza manualmente scaricandole da http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
  • Aggiornare il proprio antivirus/firewall;
  • Non aprire email, allegati o file di dubbia provenienza senza prima aver effettuato almeno un controllo con un antivirus aggiornato;
  • Eseguire frequenti backup dei dati importanti su supporti esterni è tenerli disconnessi dalla rete.




2 commenti:

  1. Buonasera,
    a seguito della svariata diffusione di ransomware cryptanti i vari vendor di antivirus offrono soluzioni per prevenire la criptazione. Lei da grande esperto quale è e grazie al suo encomiabile lavoro postato su questo blog ha avuto modo di testare queste soluzioni? Sarebbe possibile secondo lei testare una di queste soluzioni avendo a disposizione un ransomware da far girare su di una macchina di TEST. La ringrazio ancora per i suoi preziosi articoli e attendo cortesemente un suo parere su quanto esposto. Cordiali Saluti

    RispondiElimina
    Risposte
    1. La ringrazio innanzitutto per i complimenti. Per questione di tempi e di costi non ho avuto modo di effettuare test sugli anti-ransomware. Ogni produttore adotta strategie leggermente diverse e più o meno efficaci a seconda del contesto. Ci sono tool anti-ransomware come quello di Kaspersky, Trend Micro e, se non ricordo male, Dr.Web che effettuano una sorta di backup in tempo reale dei file modificati: quando vengono modificati numerosi file contemporaneamente, il processo viene bloccato, viene segnalata all'utente l'attività sospetta e, dopo eventuale conferma, viene inibita la modifica dei file e ripristinata la copia di backup. Altri tool, invece, permettono di definire le applicazioni abilitate alla modifica dei file sui dischi e/o in particolari cartelle (ad es. Documenti, immagini, desktop, ecc). In questo modo applicazioni non autorizzate non possono procedere alla modifica dei file. Tra i tool che agiscono in questo modo troviamo IObit Malware Fighter 5 Pro e Bitdefender Antivirus Plus 2017. Poi ci sono i tool come Cybereason RansomFree che si limitano a segnalare all'utente un'attività sospetta. Lo fanno tramite l'utilizzo di file "esca": se qualche applicazione tenta di modificarli scatta l'allarme. Difficile dire quale sia il migliore (anche perché l'ambiente è in continuo fermento) ma Bitdefender, Malwarebytes e Kaspersky godono di buona reputazione.

      Elimina

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.