Oggi torno a parlare di ransomware, più precisamente dell’ormai famoso “WannaCry” salito alla ribalta mondiale in meno di 24h dal lancio dell’attacco.
Un ransomware non è altro che un virus che cripta i documenti presenti sul nostro pc e su quelli collegati in rete e poi ci chiede un riscatto per riaverli. Maggiori informazioni su un mio precedente articolo.
Cosa c’è di diverso rispetto ai ransomware precedenti?
Quello che sostanzialmente differenzia questo nuovo virus è il codice sorgente completamente nuovo, il quale fa leva non solo sulle classiche tecniche di phishing che hanno contraddistinto questi tipi di attacchi, ma bensì sfrutta in aggiunta una vulnerabilità – già risolta da Microsoft – lo scorso marzo con il bollettino MS17-010.
Il secondo aspetto è l’effetto sorpresa, in quanto diversamente come accade con i classici ransomware, WannaCry è rimasto dormiente fino alla sua attivazione avvenuta esattamente il 12 maggio.
Quali sono i più colpiti da questo virus?
I colpiti risultano essere senza dubbio i PC a cui non è stato installato l’aggiornamento di marzo che risolveva il problema immunizzandoli. La vulnerabilità non riguarda solo Windows 10, ma bensì tutte le versioni precedenti compreso il vecchio e pensionato Windows XP. Per via di questo i più colpiti risultano amministrazioni pubbliche, ospedali e scuole, ove ci sia un impianto informatico con sistemi operativi vecchi o comunque non aggiornati.
Quali misure adottare?
In primis è necessario evitare di aprire siti o allegati di dubbia provenienza o comunque “strani”. Avere antivirus aggiornati. Inoltre per evitare l’infezione è necessario installare le patch del bollettino di sicurezza di marzo, ovvero l’MS17-010.
In via del tutto eccezione Microsoft ha già provveduto a rilasciare un aggiornamento anche per le versioni vecchie e non più supportate come Windows XP e Windows 8.
La prima versione uscita appunto tre giorni fa, era dotata di “Kill-Switch” cioè conteneva una funzione che permetteva di disattivare il malware in una determinata circostanza, che in quel caso corrispondeva ad un nome a dominio, qualora il dominio risultasse raggiungibile allora il malware si sarebbe automaticamente disattivato. Il nome di questo dominio è stato scoperto e poi registrato da un ragazzo inglese che così ha permesso di bloccare il malware o meglio bloccare le nuove infezioni. Molto probabilmente in futuro potrebbero comparire nuove versioni prive di kill-switch.
Potete vedere un video del virus in azione guardando questo video su YouTube https://www.youtube.com/watch?v=NVQosjzt5RI