Ed ecco che ci risiamo, questa volta il suo nome è Wanna Decrypter ma è meglio noto nel web con il nome di WannaCry, ovvero voglio piangere, in quanto è proprio ciò che al momento rimane da fare in caso di sua infezione.
Il risultato di un’infezione da WannaCry è sempre lo stesso, il ransomware blocca il computer sul quale è viene eseguito, rendendone di fatto impossibile l’utilizzo fino al pagamento di una sorta di riscatto in bitcoin.
L’importo richiesto è stato inizialmente di 300 dollari, ma a quanto pare, alcuni report delle ultime ore indicano che la cifra sia aumentata addirittura del doppio, 600 dollari.
Il nuovo virus, una volta insediato nella memoria, si aggiunge al registro di Windows, provvede ad installare automaticamente una serie di programmi e continua ad eseguirsi ad ogni eventuale riavvio della macchina.
L’infezione non si ferma ovviamente al disco fisso primario del PC ma è in grado di intaccare allo stesso modo anche eventuali periferiche connesse esternamente come hard disk o chiavette usb e di bloccare contemporaneamente l’accesso alle utility di riparazione del sistema. In sostanza il computer infetto diventa inutilizzabile.
Questo ennesimo attacco informatico ha sfruttato una falla presente nell’SMB Server di Windows, già scovata da Microsoft ed immediatamente aggiornata con il security update rilasciato nel mese di marzo.
WannaCry ha iniziato la sua diffusione in Spagna e Gran Bretagna, infettando principalmente i PC impiegati negli uffici e negli ambienti pubblici. Si è poi rapidamente diffuso in tutto il globo nel giro di poche ore, infettando i numerosi sistemi windows non costantemente aggiornati. Rilevante l’episodio avvenuto in Gran Bretagna, dove pare che il ransomware sia proliferato all’interno degli ospedali, compromettendone pesantemente l’operatività bloccando completamente i sistemi informatici.
WannaCry è basato su due exploit provenienti da una serie di utility in possesso dell’NSA americano, EternalBlue e DoublePulsar, finiti purtroppo di recente nelle mani sbagliate. Gli exploit in oggetto sono in realtà attivi da diverso tempo, ma sono stati bloccati dal sistema operativo solamente nel mese di marzo, con un aggiornamento rilasciato da Microsoft e disponibile per tutti i sistemi operativi attualmente coperti dagli update di sicurezza.
Concludiamo ribadendo l’importanza del mantenere sempre aggiornato il proprio sistema operativo Windows con tutti gli update e le patch di sicurezza rilasciati costantemente da Microsoft e di utilizzare un buon software antivirus, mantenendolo sempre aggiornato.
Nel caso non lo aveste già fatto, la patch specifica che risolve la falla presente nell’SMB Server di Windows (Microsoft Security Bulletin MS17-010 – Critical Security Update for Microsoft Windows SMB Server (4013389)) la potete trovare a questo indirizzo.
Non dimenticate inoltre di iscrivervi alla nostra Newsletter (form sul fondo) o al nostro Feed RSS per rimanere sempre aggiornati sugli ultimi articoli pubblicati.
TI E’ PIACIUTO L’ARTICOLO?
SE NON LO HAI GIÀ’ FATTO, AIUTACI A CONDIVIDERLO CON I TUOI AMICI
TI BASTA UN PICCOLO CLICK 😉
