Chiamato anche Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2, questo ransomware non si diffonde tramite mail di phishing, come la maggior parte dei cryptovirus e come evangelizzato dalla maggior parte dei giornalisti televisivi italiani, ma sfruttando una vulnerabilità di sistemi Windows che era già stata scoperta e chiusa un paio di mesi fa da Microsoft grazie ad alcuni aggiornamenti pubblicati gratuitamente.

Ransomware Wanna Cry - PJ magazine

Molti di voi non sanno che la maggior parte dei media sbagliano e non di poco a definirlo come attacco hacker.
Un hacker una volta in possesso di tali informazioni le rende note alle aziende interessate per consentire a queste ultime di risolvere il problema. Un cracker, al contrario, sfrutta le vulnerabilità a proprio vantaggio: una questione etica non di poco conto visto che le ricadute economiche e sociali possono essere pesantissime.

Nel caso in questione sussistono sfumature ancor più complesse dal momento che, secondo quanto emerso in questi giorni, il codice dell’attacco sarebbe direttamente derivato da un codice sviluppato dalla NSA per monitorare eventuali sospettati di terrorismo internazionale. Un codice di questo tipo può dunque fungere da vera e propria spia all’interno dei pc, spesso e volentieri nella piena inconsapevolezza dell’utente.

Come definire quest’azione della NSA? “Hacker” o “Cracker”?

Il modus operandi è sintomatico, e tutto lascia pensare che non sia particolarmente saggio da parte delle istituzioni costruire sistemi di controllo poiché i medesimi strumenti possono facilmente essere sfruttati con finalità ben differenti. Wannacry ne è un esempio.

Come proteggersi da wcrypt (Wanna Cry)?

Il virus utilizza exploit ETERNALBLUE (o Eternal Blue), chiuso dall’aggiornamento di protezione MS17-010 rilasciato a marzo. Si raccomanda di controllare il centro di aggiornamento per la presenza di un aggiornamento (tramite codice) sul computer (ad esempio, il codice per Windows 7 sarà KB4012212 o KB4012215).

Se gli aggiornamenti non sono installati, è possibile scaricarli dal sito ufficiale di Microsoft:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Per i sistemi più datati (Windows XP, Windows Server 2003 R2), Microsoft ha realizzato delle speciali patches:

Customer Guidance for WannaCrypt attacks

Chiudere le porte 135, 139 e 445

Secondo i rapporti delle aziende antivirus, wcrypt penetra i computer attraverso le porte SMB (Server Message Block).
Di conseguenza per impedire la penetrazione, blocchiamo le porte 135, 139 e 445 attraverso le quali il virus penetra (nella maggior parte dei casi non vengono utilizzati da utenti ordinari).

A tale scopo, aprire la console con i diritti di amministratore (cmd.exe -> eseguire come amministratore) ed eseguiamo i tre comandi sotto elencati (dopo ogni comando dovremmo avere lo stato OK).

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Disattivare il supporto SMBv1

La vulnerabilità può anche essere chiusa disattivando completamente il supporto SMBv1.
Esegui questo comando in cmd (sempre come amministratore).

dism /online /norestart /disable-feature /featurename:SMB1Protocol

oppure

-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Paramters" SMB1 -Type DWORD -Value 0 -

Mikael Lake
Web Developer/
Web Designer/
Drummer/
Horror film Addicted
TI E' PIACIUTO L'ARTICOLO? CONDIVIDILO
Share on Facebook0Tweet about this on TwitterShare on Google+1Pin on Pinterest0Share on LinkedIn3Share on Reddit0Share on StumbleUpon0Email this to someone