WannaCry: siete al sicuro?

Cosa rende l’encriptor autoreplicante WannaCry (.wcry) così pericoloso e come evitare di essere infettati.

Un paio di giorni fa abbiamo assistito alla diffusione del Trojan encryptor WannaCry che sembra essere stata una pandemia mondiale. Abbiamo rilevato oltre 45.000 casi di attacchi in un solo giorno, ma il numero reale è molto più elevato.

Cosa è successo?

Un gran numero di enti hanno segnalato contemporaneamente un’infezione. Tra questi, anche diversi ospedali britannici che hanno dovuto sospendere le operazioni. Stando ai dati forniti da terze parti, WannaCry ha infettato oltre 100.000 computer. La grande quantità di infezioni è uno dei motivi più importanti per cui ha attirato tutta questa attenzione.

Il maggior numero di attacchi è avvenuto in Russia, ma anche Ucraina, India e Taiwan hanno subito danni a causa di WannaCry. Solo nel primo giorno d’attacco, abbiamo scoperto che WannaCry aveva agito in 74 paesi.

Che cos’è WannaCry?

In genere WannaCry è formato da due parti. La prima è un exploit che si occupa dell’infezione e della diffusione. La seconda parte è un encryptor che si scarica sul computer dopo che questo è stato infettato.

La prima parte costituisce la differenza principale tra WannaCry e la maggior parte degli encryptor. Per infettare un computer con un encryptor comune, un utente deve commettere un errore, cliccando ad esempio su un link pericoloso, permettendo a Word di avviare una macro dannosa o scaricando un allegato sospetto da una mail. Un sistema può essere infettato da WannaCry senza che l’utente faccia nulla.

WannaCry: exploit e diffusione

I creatori di WannaCry si sono approfittati dell’exploit di Windows noto come EternalBlue, che si basa su una vulnerabilità che Microsoft aveva risolto nell’aggiornamento di sicurezza MS17-010 il 14 marzo di quest’anno. Utilizzando l’exploit, i criminali hanno potuto ottenere l’accesso remoto ai computer e installare l’encryptor.

Se avete installato l’aggiornamento, allora questa vulnerabilità non vi riguarda e qualsiasi tentativo di hackerare il computer in maniera remota tramite la vulnerabilità fallirà. Ad ogni modo, i ricercatori del team GReAT di Kaspersky Lab (Global Research & Analysis Team) vorrebbero evidenziare il fatto che risolvere la vulnerabilità non blocca completamente l’encryptor. Quindi se lo avviate in qualche modo (quindi se si commette un errore) allora il fatto che la vulnerabilità sia stata risolta non vi servirà a niente.

Dopo esser riuscito ad hackerare un computer in maniera efficace, WannaCry prova a diffondersi tramite la rete locale sugli altri computer, proprio come un worm. L’encryptor scansiona gli altri computer alla ricerca della stessa vulnerabilità che può essere sfruttata con l’aiuto di EternalBlue e quando WannaCry trova un computer vulnerabile, lo attacca e ne cripta i file.

Di conseguenza, infettando un computer, WannaCry può infettare un’intera rete locale e criptare tutti i computer connessi alla rete. Ecco perché le grandi aziende sono quelle che hanno subito i danni maggiori dall’attacco di WannaCry (più computer sono connessi alla rete, più grande è il danno).

WannaCry: Encryptor

Come encryptor, WannaCry (a volte chiamato WCrypt o, senza alcun motivo, WannaCry Decryptor) si comporta come tutti gli altri encryptor; cripta i file su un computer e richiede un riscatto per decriptarli. È molto simile a una variante del famigerato Trojan CryptXXX.

WannaCry cripta file di diverso tipo (troverete la lista completa in questo link), incluso documenti, foto, video, archivi e altri tipi di formati che possono contenere potenzialmente dati critici degli utenti. Le estensioni dei file criptati sono rinominati come .WCRY e i file diventano completamente inaccessibili.

Dopo tutto questo, il Trojan cambia lo sfondo del desktop con una foto in cui vengono fornite le informazioni sull’infezione e tutto quello che deve fare l’utente per recuperare i file. WannaCry invia notifiche come file di testo con le stesse informazioni alle cartelle del computer per assicurarsi del fatto che l’utente riceva il messaggio.

Come d’abitudine, una delle cose da fare implicava un trasferimento di una certa somma di denaro in bitcoin ai criminali. Dopo aver fatto tutto questo, i criminali assicurano alla vittima di decriptare tutti i file. Inizialmente i cybercriminali hanno chiesto 300 dollari, ma successivamente hanno alzato la posta in gioco chiedendone 600.

In questo caso, i malfattori hanno provato anche a intimidire le vittime affermando che la somma del riscatto sarebbe aumentata nel giro di tre giorni (e anche che dopo sette giorni i file non sarebbero potuti più essere decriptati). Come sempre, non consigliamo di pagare il riscatto. Forse il motivo più convincente per non farlo è che non c’è alcuna garanzia del fatto che i criminali decriptino i vostri file dopo aver ricevuto il riscatto. I ricercatori hanno infatti dimostrato che altri cyberestorsionisti hanno semplicemente eliminato i dati degli utenti.

Come la registrazione di un dominio ha bloccato l’infezione (ma è probabile che non sia ancora conclusa)

Paradossalmente, un ricercatore chiamato Malwaretech è riuscito a bloccare l’infezione registrando un dominio con un nome lungo e senza senso.

Sembra che alcune versioni di WannaCry fossero indirizzate a questo dominio e se non ricevevano una risposta positiva, installavano l’encryptor e iniziavano il loro sporco lavoro. Se invece veniva data una risposta (se cioè il dominio era stato registrato), allora il malware bloccava la sua attività.

Dopo aver trovato i riferimenti di questo dominio nel codice del Trojan, il ricercatore ha registrato il dominio e ha bloccato l’attacco. Durante il resto del giorno, il dominio ha ricevuto decine di migliaia di richieste; questo vuol dire che sono stati risparmiati decine di migliaia di computer.

Esiste una teoria secondo cui questa funzionalità è stata integrata su WannaCry (come un interruttore di circuito) nel caso in cui qualcosa fosse andata male. Un’altra teoria, sostenuta dello stesso ricercatore, afferma che questo è un modo per complicare l’analisi del comportamento del malware. Gli ambienti di prova utilizzati nelle ricerche sono spesso pensati in maniera tale che qualsiasi altro dominio dia una risposta positiva; in casi del genere, il Trojan non farebbe nulla in quanto si trova all’interno di tale ambiente.

Purtroppo, per le nuove versioni del Trojan, tutti i criminali dovranno cambiare il nome del dominio indicato come “interruttore di circuito” e le infezioni continueranno. Di conseguenza, è molto probabile che l’epidemia di WannaCry continui.

Come difendersi da WannaCry

Sfortunatamente, al momento non c’è alcun modo per decriptare i file che sono stati criptati da WannaCry (ad ogni modo, i nostri ricercatori ci stanno lavorando). Per adesso, la prevenzione è l’unica speranza.

Ecco qualche consiglio su come prevenire l’infezione e minimizzare i danni.

  • Se avete installato già una soluzione di sicurezza di Kaspersky Lab sul vostro sistema, allora vi consigliamo di fare quanto segue: avviate manualmente una scansione delle aree critiche e se la soluzione di sicurezza rileva MEM:Trojan.Win64.EquationDrug.gen (è così che la nostra soluzione antivirus rileva WannaCry), rimuovetelo e riavviate il sistema.
  • Se siete utenti di Kaspersky, mantenete attivo System Watcher. È essenziale per combattere qualsiasi nuova variante del malware che possa apparire.
  • Installate gli aggiornamenti di sicurezza. Questo consiglio è rivolto in maniera particolare a tutti gli utenti Windows, affinché installino l’aggiornamento di sicurezza MS17-010. Microsoft l’ha rilasciato anche per i sistemi che non godono più dell’assistenza ufficiale, come Windows XP o Windows 2003. Sul serio, installatelo subito; è molto importante.
  • Effettuate regolarmente il backup e memorizzate le copie su dispositivi che non siano costantemente connessi al computer. Se avete una copia di backup recente, allora un’infezione causata da un encryptor non è una catastrofe; potete impiegare un paio d’ore a reinstallare il sistema operativo e le app e poi ripristinare i vostri file. Se siete troppo impegnati per effettuare un backup, approfittate della funzionalità di backup integrata in Kaspersky Total Security, che può automatizzare il processo.
  • Utilizzate un antivirus affidabile. Kaspersky Internet Security è in grado di rilevare WannaCry sia a livello locale che durante i tentativi di diffusione su una rete. Inoltre, System Watcher, una funzionalità integrata, può disfarsi delle modifiche indesiderate; questo vuol dire che eviterà una crittografia dei file anche per quelle versioni di malware che non fanno ancora parte del database dell’antivirus.
Consigli