Gli attacchi ransomware continuano a cogliere il mondo di sorpresa. Ce lo dimostra in maniera piuttosto triste la diffusione su larga scala del recentissimo ransomware WannaCrypt0r (noto anche con il nome di WannaCrypt, WannaCry o WCry) che ha infettato decine di migliaia di utenti, aziende e persino ospedali in oltre 90 paesi. Sebbene noi, in veste di esperti di sicurezza, ribadiamo costantemente la necessità di prestare la massima attenzione in tal senso, è sicuramente più semplice fare finta che cose come queste capitino solo agli altri e continuare la propria vita come se niente fosse.
Ma si prevede che da ora in poi questi spiacevoli attacchi ransomware su larga scala aumenteranno sia in termini di frequenza che di intensità. Attualmente, infatti, intorno a questo tipo di attacchi il crimine informatico sta costruendo un intero ramo di attività, dal momento che questi consentono di ottenere dalle vittime diversi milioni di dollari con relativa semplicità.
Cos’è un ransomware?
Esistono due tipi di ransomware: i ransomware di crittografia, che crittografano i file rendendoli illeggibili, e i ransomware che bloccano la schermata iniziale. In entrambi i casi, gli autori del software dannoso chiedono alle proprie vittime un riscatto per accedere ai file e al dispositivo.
I ransomware vengono frequentemente diffusi via email: un pirata informatico invia un’email con un allegato. L’ignaro utente apre il documento (o il file javascript) che sembra incomprensibile. Il documento raccomanda di attivare le macro “se la codifica dei dati non è corretta” e questa, ovviamente, non lo è di proposito. L’abilitazione delle macro consente al ransomware di essere scaricato segretamente sui computer per mezzo di un download inconsapevole.
Cos’ha WannaCrypt0r di tanto speciale?
Si tratta della modalità di diffusione, che somiglia più a quella di un worm piuttosto che a quella di un “normale” ransomware. Questo significa che, una volta entrato nel PC, il ransomware cerca di diffondersi a un altro PC autonomamente, sfruttando le vulnerabilità che non sono ancora state rilevate o corrette da opportune patch. Nel caso del ransomware WannaCrypt0r la vulnerabilità in questione si chiama EternalBlue ed è uno degli exploit dell’archivio di strumenti sfuggito al controllo dell’NSA recentemente rilasciati dal gruppo di hacker Shadow Brokers. L’ironia della sorte ha voluto che la patch di Microsoft per tutti i sistemi Windows colpiti fosse già disponibile da marzo, il che dimostra quanto raramente gli aggiornamenti vengano eseguiti tanto dai singoli utenti, quanto dalle grandi aziende. In seguito all’attacco, la Microsoft ha addirittura pubblicato le patch per Windows XP, Windows Server 2008 e per la maggior parte degli altri sistemi operativi per i quali non fornisce più alcun supporto, ma che sono ancora ampiamente utilizzati.
«Non posso che ribadire quanto sia assolutamente fondamentale tenere aggiornato il sistema», afferma Oscar Anduiza, analista di malware presso Avira. «In un mondo perfetto in cui tutti avessero installato la patch in questione, un attacco di questo tipo sarebbe stato inconcepibile». Quindi gente, se ancora non l’avete fatto, aggiornate il vostro sistema operativo ora! A proposito, con il nostro Software Updater Pro la patch sarebbe stata installata sul sistema il giorno stesso in cui è stata pubblicata, senza scocciature e con un solo clic. Quindi lasciare aperta questa vulnerabilità e fare in modo che possa essere sfruttata da qualsiasi ransomware non ha scusanti.
Come funziona WannaCrypt0r?
Dopo essersi fatto strada nel PC tramite l’exploit indicato in precedenza, il ransomware cerca di ottenere l’autorizzazione incondizionata per avviarsi e crittografare il sistema. Il comando che utilizza è “icacls . /grant Everyone:F /T /C /“. Si spinge addirittura tanto in là da eliminare l’archivio della posta elettronica e qualsiasi altro database dell’utente presente sul PC.
Una volta terminata questa fase, cerca tutti i file con le estensioni “.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc” ecc., quindi memorizza una richiesta di riscatto @Please_Read_Me@.txt e una copia del programma per la decrittografia @WanaDecryptor@.exe in ogni cartella nella quale abbia precedentemente crittografato un file.
Per rendere la rimozione ancora più definitiva, WannaCrypt0r si accerta anche di eliminare le copie ombra del volume, di disattivare il ripristino dell’avvio di Windows e di cancellare la cronologia di Windows Server Backup. È qui che entra in gioco l’utente, perché per essere in grado di eseguire il parametro della riga di comando necessario per tali attività, il ransomware deve ottenerne l’autorizzazione. Questo determina la visualizzazione di un prompt di controllo dell’account utente che quest’ultimo deve accettare. Se non accetta potrebbe ancora riuscire a ripristinare il sistema. Se accetta, beh, questo è il punto di non ritorno: WannaCrypt0r esegue la riga di comando “cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet” e, dopo aver rimosso le copie ombra, visualizza una schermata e un desktop di blocco tipici di un ransomware.
Avira ti offre tranquillità e sicurezza per il PC
Sebbene stiamo continuando ad analizzare i dettagli dell’attacco WannaCrypt0r (in fin dei conti il lavoro di un analista di malware non finisce mai) possiamo già confermare che i nostri software lo rilevano correttamente, dal momento che le prime varianti di questo ransomware sono state rilevate nel corso delle nostre scansioni circa due mesi fa.
Ma che si tratti di ransomware, di phishing o di minacce per la privacy, oggi cadere vittima dei pirati informatici non ha scusanti. Il nostro ampio portafoglio di sicurezza a 360° offre la soluzione giusta per ogni esigenza e può prevenire il verificarsi della maggior parte degli eventi sgradevoli, ancora prima vi sia la minaccia:
rimani un passo avanti, previeni l’attacco.
Il nostro Software Updater Pro, il browser Scout, Phantom VPN Pro e Avira Password Manager offrono il pacchetto perfetto per prevenire il verificarsi di qualsiasi evento sgradevole. Mentre Software Updater si accerta che le vulnerabilità vengano corrette non appena viene rilasciata la patch corrispondente, il browser Scout, la VPN e Password Manager difendono i dati evitando che finiscano nelle mani sbagliate. In questo modo essere vittima di una qualsiasi campagna di malware e di phishing diventa molto più difficile.
Rilevalo prima che possa mettere radici
Il nostro potente Avira Antivirus Pro, con la sua protezione avanzata da ransomware, ti proteggerà da qualsiasi minaccia (malware, ransomware o normali virus che siano), offrendoti una tranquillità che altrimenti non avresti.
Facciamo quello che avresti dovuto fare tu
Nel caso in cui ti renda conto troppo tardi che probabilmente sarebbe stato meglio avere un antivirus e il tuo PC sembri ormai senza speranze, sappi che il nostro Avira Antivirus Pro è dotato di un sistema di recupero che potrebbe salvarti. E come se non bastasse, System Speedup si accerterà di ottimizzare il tuo PC correggendo gli errori, riparando le impostazioni errate e pulendo il registro di sistema.
