WannaCry tutto quello da sapere: come proteggersi e come risolvere (aggiornato)

Cosimo Alfredo Pina - Tutto quello da sapere sul ransomware WannaCry, che colpisce tutte le versioni da Windows XP in poi

A meno che non abbiate passato il week end isolati, saprete che negli ultimi giorni è in corso un colossale attacco hacker perpetrato per mezzo del ransomware WannaCry. In certe parti del mondo il cyberattacco, che ha messo KO anche diverse istituzioni, è ancora in corso.

Nella speranza di fare un po’ di chiarezza e di evitare l’ulteriore diffusione, abbiamo raccolto un po’ di informazioni per chi vuole saperne di più sul virus WannaCry, visto che secondo il Financial Times sarebbero ben 1,3 milioni i PC ancora a rischio infezione.

Cosa è e come funziona

WannaCry e più in generale la classe dei ransomware sono dei particolari tipi di virus che invece di danneggiare i dati o il dispositivo vero e proprio, rende inaccessibili i file sul disco fisso. Nel caso di WannaCry sono stati presi di mira i PC Windows, ma software malevolo del genere può infettare anche sistemi Mac e neanche Linux è totalmente al sicuro.

I sistemi attaccati solitamente vengono resi non utilizzabili e, come nel caso di WannaCry, allo sfortunato utente colpito viene mostrata una schermata dove viene spiegato che i propri file sono stati criptati (semplificando, protetti da password) e quindi non inaccessibili.

LEGGI ANCHE: Windows 10 S, tutto quello da sapere

A questo punto viene spiegato che per riavere dati e accesso al PC si deve pagare un riscatto (ransom, in inglese) per ottenere la password necessaria ad annullare l’effetto del virus. Un vero e proprio ricatto che fa leva sul fatto che buona parte della nostra quotidianità, personale e lavorativa, è legata ai nostri computer.

Nello specifico WannaCry ha iniziato a mietere vittime il 12 maggio 2017. Il suo funzionamento è basato su l’exploit (codice che sfrutta falle di sistema) EternalBlue che colpisce tutte le versioni di Windows da XP in poi.

Una volta aperto l’eseguibile, tutti i file del PC vengono criptati e rinominati con l’estensione .WCRY. A questo punto all’utente viene chiesto un riscatto fino a ben 600$, da pagare ovviamente in bitcoin.

WannaCry, oltre a fare quello che gli altri ransomware fanno e che vi abbiamo già spiegato, si propaga con il vecchio ma ancora efficace “trucco” delle email oltre che tramite il protocollo SMB, rappresentando un rischio anche per i computer connessi in locale a quello infettato. Questo ha portato all’infezione di centinaia di migliaia di sistemi in pochi giorni.

Come Proteggersi

Prevenire l’attacco di WannaCry è molto semplice sul PC personale. Infatti la patch di sicurezza che protegge Windows dall’exploit EternalBlue – Security Update for Microsoft Windows SMB Server (4013389) – è stata rilasciata da Microsoft lo scorso 14 marzo 2017.

I problemi maggiori si hanno nell’ambito aziendale dove la distribuzione degli aggiornamenti è lenta e frammentaria. Non è infatti un caso che la maggior parte dei PC infettati sono stati quelli enti pubblici ed aziende, magari basati su sistemi operativi non più aggiornati automaticamente.

Oltre alla patch Microsoft un giovane ricercatore di 22 anni avrebbe individuato una specie di “interruttore d’emergenza” di WannaCry; sarebbe bastato registrare un dominio per ridurre drasticamente il numero di infezioni, anche se dopo questo fatto si sospetta che sia stata creata una nuova versione del ransomware che aggira anche questo controllo.

Detto questo, come è possibile proteggersi da WannaCry? Sul vostro PC Windows personale vi basterà assicurarvi di avere gli ultimi aggiornamenti; la maggior parte dei nostri lettori avrà gli aggiornamenti automatici attivi, ma potete sempre verificare manualmente. La procedura varia un po’ da una versione all’altra di Windows, ma indicativamente vi basterà aprire il menu start, cercare “Windows Update” e verificare di avere gli aggiornamenti più recenti. In caso contrario scaricateli e riavviate il PC.

LEGGI ANCHE: Niente più supporto per la prima versione di Windows 10

Se non avete accesso a questa funzionalità del PC, in quanto il vostro account utente non dispone dei requisiti necessari, dovrete contattare il vostro amministratore e chiedergli di aggiornare al più presto.

Consiglio valido per tutti è invece quello di non aprire assolutamente file, email e collegamenti web di origine più che certa e di ricorrere ad un buon antivirus aggiornato (ce ne sono di gratuiti e buoni), o quantomeno tenere attivo ed aggiornato Windows Defender, l’anti-malware integrato nelle versioni relativamente recenti di Windows.

Nota importante per Windows XP, Windows 8 e Windows Server 2003: per questi sistemi più anziani il supporto tramite Windows Update è stata interrotta, ma vista la gravità della diffusione di WannaCry è stata rilasciata una patch installabile manualmente che potete scaricare dal blog di Microsoft.

Concludiamo con una nota sul “prevenire è meglio che curare”. Il miglior modo per proteggersi da WannaCry, e più in generale da ransomware e virus, è infatti quello di effettuare regolarmente il backup dei dati, possibilmente diversificando su più supporti e servizi cloud.

Come risolvere (Wannakey/Wannakiwi da Win XP a Win 7)

Se ci leggete perché il vostro PC o quello di qualcuno che conoscete è stato colpito da WannaCry ci sono brutte notizie, soprattutto se non avete un backup dei dati. Ad oggi non c’è modo di decriptare i file colpiti dal ransomware in questione, e da molti altri malware del suo genere.

Pagare il riscatto agli hacker malevoli dietro al virus è una mossa estremamente rischiosa e scorretta per una lunga serie di motivi: non è detto che i cybercriminali abbiano la password (un metodo di decriptazione potrebbe non essere proprio stato sviluppato) o che abbiano modo/voglia di farvela pervenire, fornirete preziosi dati personali a persone con codice etico discutibile, fornirete fondi per potenziale sviluppo di ulteriore software malevolo.

LEGGI ANCHE: Questa azienda ha inventato un antiscippo smart che “esplode” con un SMS

Online stanno inoltre apparendo un sacco di software che promettono di risolvere i problemi portati da WannaCry, ma in verità le grandi firme specializzate in sicurezza informatica e Microsoft stessa non ha parlato di reversibilità per file criptati. In questi momenti a ridosso del picco dell’attacco, il rischio di ritrovarsi tra le mani un programma truffa o un ulteriore malware è molto alto. Sempre sul web stanno circolando alcune guide per rimuovere WannaCry dal proprio PC, ma l’efficacia deve ancora essere provata e comunque i file restano non accessibili.

Quindi a chi è stato colpito da WannaCry non resta che rassegnarsi: per sicurezza effettuare una copia dell’hard disk del PC colpito (da tenere ovviamente isolata) e sperare che prima o poi i file possano tornare leggibili, ma l’unica soluzione percorribile è quella di formattare il PC e ripartire da zero, ricordandosi di adottare tutte le soluzioni indicate nel paragrafo precedente per evitare una nuova infezione.

Per chi fortunatamente è riuscito a scamparla, consigliamo di usare comunque il buonsenso come arma preventiva: backup ed aggiornamenti di sistema operativo e software antivirus.

Aggiornamento19/05/2017 ore 21:45

Un gruppo di ricercatori sarebbe riuscito a trovare un metodo per decriptare i file colpiti da WannaCry, ma i limiti non mancano. Innanzitutto il fix è stato testato solo su Windows 7, Windows 2003, XP e  (non è da escludere che possa funzionare per le altre versioni precedenti a 7, Vista incluso) ed inoltre è necessario che il PC non sia stato riavviato dal momento dell’infezione.

Il tool per recuperare la chiave di decriptazione si chiama Wannakey e va a leggere i settori della memoria RAM per cercare di recuperare la “password”. Per questo è importante non aver riavviato il PC, visto che la RAM si resetta allo spegnimento del sistema, e anzi prima viene avviato meglio è.

Il procedimento per recuperare i file, basato su un ulteriore tool che decripta i file (Wanakiwi) è di fondo piuttosto semplice, grazie ad un gruppo di prodi ricercatori informatici. Citando la pagina dei creatori:

  1. Scaricate Wanakiwi da GitHub (NdR: diffidate altri canali)
  2. Lanciate wanakiwi.exe che cerchera il file 00000000.pky
  3. Incrociate le dita e sperate che i numeri primi della chiave in memoria non siano stati sovrascritti

Con un po’ di fortuna i file saranno decriptati, che tra l’altro dovrebbero essere messi al sicuro da WannaCry che non riconoscerà l’operato del tool. Per i primi colpiti dal malware è molto probabilmente molto tardi e la diffusione è molto rallentata rispetto al boom iniziale, ma almeno adesso abbiamo una risorsa da usare in caso di emergenza.

Via: Wikipedia, Il Post, corrierecomunicazioni.it