Ransomware WannaCry: conoscere il virus e come proteggersi

Schermata del ransomware "WannaCry"

Oggi torno a parlare di ransomware, più precisamente dell’ormai famoso “WannaCry” salito alla ribalta mondiale in meno di 24h dal lancio dell’attacco.

Un ransomware non è altro che un virus che cripta i documenti presenti sul nostro pc e su quelli collegati in rete e poi ci chiede un riscatto per riaverli. Maggiori informazioni su un mio precedente articolo.

Cosa c’è di diverso rispetto ai ransomware precedenti?

Quello che sostanzialmente differenzia questo nuovo virus è il codice sorgente completamente nuovo, il quale fa leva non solo sulle classiche tecniche di phishing che hanno contraddistinto questi tipi di attacchi, ma bensì sfrutta in aggiunta una vulnerabilità – già risolta da Microsoft – lo scorso marzo con il bollettino MS17-010.

Il secondo aspetto è l’effetto sorpresa, in quanto diversamente come accade con i classici ransomware, WannaCry è rimasto dormiente fino alla sua attivazione avvenuta esattamente il 12 maggio.

Quali sono i più colpiti da questo virus?

I colpiti risultano essere senza dubbio i PC a cui non è stato installato l’aggiornamento di marzo che risolveva il problema immunizzandoli. La vulnerabilità non riguarda solo Windows 10, ma bensì tutte le versioni precedenti compreso il vecchio e pensionato Windows XP. Per via di questo i più colpiti risultano amministrazioni pubbliche, ospedali e scuole, ove ci sia un impianto informatico con sistemi operativi vecchi o comunque non aggiornati.

Quali misure adottare?

In primis è necessario evitare di aprire siti o allegati di dubbia provenienza o comunque “strani”. Avere antivirus aggiornati. Inoltre per evitare l’infezione è necessario installare le patch del bollettino di sicurezza di marzo, ovvero l’MS17-010.

In via del tutto eccezione Microsoft ha già provveduto a rilasciare un aggiornamento anche per le versioni vecchie e non più supportate come Windows XP e Windows 8.

La prima versione uscita appunto tre giorni fa, era dotata di “Kill-Switch” cioè conteneva una funzione che permetteva di disattivare il malware in una determinata circostanza, che in quel caso corrispondeva ad un nome a dominio, qualora il dominio risultasse raggiungibile allora il malware si sarebbe automaticamente disattivato. Il nome di questo dominio è stato scoperto e poi registrato da un ragazzo inglese che così ha permesso di bloccare il malware o meglio bloccare le nuove infezioni. Molto probabilmente in futuro potrebbero comparire nuove versioni prive di kill-switch.

Potete vedere un video del virus in azione guardando questo video su YouTube https://www.youtube.com/watch?v=NVQosjzt5RI