15 Maggio 2017 - 12:32

WannaCry, il vademecum della Polizia postale per difendersi dal virus

WannaCry

Il virus informatico che sta terrorizzando mezzo mondo, WannaCry, ha già infettato oltre duecentomila computer. La Polizia postale ha rilasciato un vademecum per difendersi

[ads1]

A poche ore dalla rilevazione di WannaCry, gli esperti avevano già classificato questo virus come il più pericoloso e il più dannoso dell’era digitale. 48 ore dopo aver infettato oltre duecentomila computer in 150 Paesi, la Polizia Postale ha diffuso un vademecum per difendersi dall’attacco, disponibile sul loro sito ufficiale. Per ora, fanno sapere le forze dell’ordine, “non si hanno al momento evidenze  di gravi danni ai sistemi informatici o alle reti telematiche delle infrastrutture informatiche del Paese. E’ bene che gli utenti della Rete facciano attenzione  alle seguenti procedure”.

Come si insinua il virus

WannaCry entra nel computer in un modo molto banale, attraverso un malware via rete, che si installa sfruttando il noto bug EternalBlue e deposita, quindi, l’eseguibile mssecsvc.exe nella directory di sistema C:\windows. A questo punto si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.

La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168; la seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.
Il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete. La Polizia Postale non esclude, però, che possano insorgere ulteriori problematiche nella giornata di oggi, legate ad una versione 2.0 di WannaCry, derivanti dal riavvio dei computer che si effettua all’inizio di una nuova settimana lavorativa.

Cosa fare prima di eseguire qualsiasi aggiornamento

Prima di aggiornare i computer, per evitare qualsiasi pericolo, è bene eseguire l’aggiornamento della protezione per sistemi Microsoft Windows (pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017) e aggiornare software antivirus. Quindi disabilitare, dove possibile e ritenuto opportuno, i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP).

Il ransomware si propaga anche tramite phishing, quindi bisognerà stare attenti a non aprire link o allegati provenienti da email sospette. Il ransomware attacca sia share di rete che backup su cloud quindi, per chi non l’avesse ancora fatto, aggiornare la copia del backup e tenere i dati sensibili isolati.
Ancora, sarà opportuno eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS) e, dove possibile e ritenuto opportuno, bloccare tutto il traffico in entrata su protocolli Server Message Block (SMB) e Remote Desktop Protocol (RDP).
[ads2]