Visualizzazione post con etichetta WannaCry. Mostra tutti i post
Visualizzazione post con etichetta WannaCry. Mostra tutti i post

sabato 20 maggio 2017

Ransomware WannaCry: Recuperare i dati criptati

Il ricercatore di sicurezza informatica Adrien Guinet, ha trovato un modo per recuperare la chiave per decriptare i file cifrati dal ransomware WannaCry: Il ransomware genera la chiave pubblica e quella privata sulla macchina della vittima e, a causa di un errore di programmazione, la memoria dove risiedono tali chiavi non viene ripulita ma viene semplicemente contrassegnata come libera. Basandosi su tali informazioni un'altro ricercatore di sicurezza, Benjamin Delpy, ha sviluppato un tool chiamato WannaKiwi che automatizza l'operazione di recupero della chiave privata. 
WannaCry
FIG 1 - WannaCry

Nel caso in cui il sistema sia stato infettato, non riavviarlo o spegnerlo.
  • Scaricare WannaKiwi https://github.com/gentilkiwi/wanakiwi/releases e avviare il file eseguibile;
  • Il tool cerca autonomamente il file 00000000.pky. Non resta che sperare che la chiave privata non sia stata sovrascritta in memoria e attendere che il tool riesca ad individuarla e a procedere al recupero dei file cifrati con estensione .wncry
WannaKiwi provvede a creare anche i file con estensione .dky fermando, in questo modo, l'infezione di ulteriori file.



martedì 16 maggio 2017

Ransomware WannaCry: Come proteggersi

L'attacco informatico eseguito dal ransomware WannaCry (conosciuto anche con i nomi WanaCrypt0r 2.0 o WCry/WannaCry) è di carattere planetario. Il ransomware sfrutta una tecnica utilizzata da EternalBlue/DoublePulsar, uno strumento d'intrusione sviluppato dalla NSA che è stato trafugato e diffuso da alcune organizzazioni criminali. Il malware si diffonde da una rete locale all'altra attraverso Internet sfruttando le condivisione di rete SMB (SAMBA), generalmente attiva di default sui sistemi Windows, pertanto se un PC è stato infettato scollegarlo dalla rete per scongiurare l'infezione di altre postazioni/dispositivi. L'infezione è stata al momento bloccata: WannaCry verifica la presenza di un particolare domino esterno (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) e se non lo trova o non riesce ad accedervi provvede ad infettare il sistema. Il dominio è stato di recente creato per fermare l'infezione ma altre varianti del malware sprovviste di tale controllo si stanno diffondendo.
Purtroppo questo attacco dimostra ancora una volta la scarsa considerazione della sicurezza da parte degli utenti ma soprattutto da parte di molte aziende: sono stati colpite dall'infezione Università, Ospedali, compagnie di telecomunicazioni e persino banche. La patch diffusa da Microsoft che sistema la falla sfruttata dal ransomware è la MS17-010 disponibile già da Marzo. 

I sistemi interessati dal ransomware sono Windows XP, Windows Vista SP2, Windows Server 2008, Windows 7, Windows 8-8.1, Windows Server 2012 e R2, Windows 10, Windows Server 2016 non aggiornati.


Oltre ad installare la patch è opportuno verificare la disabilitazione della funzionalità Supporto per condivisione file SMB 1.0/CIFS come indicato di seguito:
  • Da Windows premere la combinazione di tasti WIN+R e, nella finestra Esegui, digitare appwiz.cpl seguito da invio;
  • Sul lato sinistro della finestra cliccare su Attivazione o Disattivazione delle funzionalità di Windows

    Windows, Attivazione o disattivazione delle funzionalità di Windows
    FIG 1 - Windows, Attivazione o disattivazione delle funzionalità di Windows
  • Dall'elenco togliere la spunta alla voce Supporto per condivisione file SMB 1.0/CIFS (SMB1.0/CIFS File Sharing Support) e confermare cliccando su OK

    Supporto per condivisione file SMB 1.0/CIFS
    FIG 2 - Supporto per condivisione file SMB 1.0/CIFS

Per proteggersi da gran parte di virus/ransomware basta seguire pochi e semplici passaggi:
  • Tenere sempre il sistema operativo aggiornato. Windows può essere aggiornato sia tramite il tool integrato nel sistema sia installando le patch di sicurezza manualmente scaricandole da http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
  • Aggiornare il proprio antivirus/firewall;
  • Non aprire email, allegati o file di dubbia provenienza senza prima aver effettuato almeno un controllo con un antivirus aggiornato;
  • Eseguire frequenti backup dei dati importanti su supporti esterni è tenerli disconnessi dalla rete.