WannaCry è un ceppo di ransomware emerso in natura il 12 maggio 2017 e che si è rapidamente diffuso infettando oltre 200,000 sistemi in più di 150 paesi.
Conosciuto anche come WannaCrypt, WanaCrypt0r, WCrypt e WCRY, il worm WannaCry si avvale di un exploit specifico nel protocollo SMB (Server Message Block) di Microsoft denominato "EternalBlue" e utilizza tattiche di phishing e-mail per infettare i sistemi Microsoft Windows meno recenti e privi di patch .
Potenziale danno di WannaCry mitigato da patch di sicurezza e kill switch
Microsoft ha corretto la falla di sicurezza SMB "EternalBlue" in un avviso di aggiornamento rilasciato il 14 marzo (MS17-010), sebbene all'epoca fosse applicato solo a Windows 10. WannaCry tuttavia è stato sviluppato per indirizzare Windows 7 e Windows Server 2008 e sistemi operativi precedenti senza patch.
Dopo la scoperta di WannaCry in natura, Microsoft ha esteso la nuova patch SMB per coprire ulteriormente i sistemi operativi Windows XP, Windows 7, Windows 8 e Windows Server 2003.
Sebbene queste patch di sicurezza abbiano contribuito a mitigare la potenziale diffusione di WannaCry, molti sistemi Windows rimangono obsoleti quando si tratta di patch di sicurezza recenti e di conseguenza continuano a essere vulnerabili a ransomware come WannaCry e altri malware.
Il potenziale danno di WannaCry è stato mitigato anche dall'attivazione di un "kill switch" trovato nel codice WannaCry. Il codice WannaCry è stato progettato per tentare di connettersi a un dominio specifico e infettare i sistemi e diffondersi ulteriormente se la connessione al dominio si rivela non riuscita. Fin dalla sua comparsa in natura, il nome di dominio in WannaCry è stato registrato e impostato, limitando l'ulteriore diffusione e il danneggiamento del ceppo iniziale di WannaCry.
Come funziona e si diffonde WannaCry
WannaCry ha due componenti principali: un trojan dropper che cerca di sfruttare la vulnerabilità di sicurezza SMB su sistemi Windows meno recenti e privi di patch e il ransomware stesso.
I sistemi infetti da WannaCry vengono utilizzati per tentare di infettare altri sistemi Windows senza patch sulla rete locale e su Internet.
Sulle macchine infette, WannaCry crittografa tutti i file che trova e li rinomina con un'estensione del nome file .WNCRY. WannaCry crea quindi un messaggio di riscatto in ciascuna directory e sostituisce l'immagine di sfondo dello sfondo con un messaggio di riscatto che richiede agli utenti di pagare $ 300 in valuta Bitcoin per far decrittografare e ripristinare tutti i file alla normalità.
Protezione contro WannaCry e altri attacchi ransomware / malware
Per proteggere i sistemi da WannaCry e altre forme di ransomware e malware, Microsoft consiglia di eseguire l'aggiornamento a Windows 10, che non è vulnerabile alle varianti WannaCry / WannaCrypt.
Gli utenti sono inoltre incoraggiati a installare l'aggiornamento della sicurezza SMB sui sistemi Windows precedenti e a rimanere aggiornati su tutte le patch di sicurezza e gli aggiornamenti tramite il servizio Windows Update.
Inoltre, gli utenti possono disabilitare specificamente SMB se lo desiderano seguendo le istruzioni in questo Microsoft Knowledge Base Article oppure limitare il traffico SMB aggiungendo una regola sul router di rete o sul firewall software per bloccare il traffico SMB in entrata sulla porta 445.