Daily Web
di Laura Bogliolo

WannaCry, ecco come difendersi

2 Minuti di Lettura
Lunedì 15 Maggio 2017, 09:19
In Italia la regione più colpita sembra essere la Lombardia. L'attesa è per oggi, lunedì, quando i computer di molti uffici (soprattutto quelli pubblici) verranno riaccesi. La minaccia di WannaCry, il cyberattacco mondiale, non ha ancora dissolto la sua scia. L'Agenzia per l'Italia digitale (Agid) ha fornito alcune indicazioni per tentare di limitare i danni e mitigare gli effetti dell'attacco. 
Nel sito dell'agenzia vengono fornite alcune indicazioni. Il primo passo: «procedere urgentemente con
l'installazione della patch Microsoft risolutiva», un file che consente di difendersi dal virus. 
E i computer che erano spenti al momento dell'attacco? L'agenzia consiglia di scollegarle dalle rete locale
prima di riaccenderle, chiudere tutte le applicazioni che partono in automatico, compresa la posta elettronica, prima di connettersi.
Vengono infine consigliati i passi consueti quando si parla di cyberattacchi: «non aprire mail inattese o comunque di provenienza incerta». 
Le linee guide sono disponibili sul sito https://www.cert-pa.it/web/guest/news?id=8394

 
 
Anche la polizia postale ha elaborato un vademecum per difendersi.


"Gli utenti della Rete facciano attenzione  alle seguenti procedure rilevate dagli specialisti della Polizia postale:
 
1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione). 
 
2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows. 
 
3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.
 
4) La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.
 
5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.
 
6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro.
Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.
 
Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di “WannaCry” 2.0, ovvero al riavvio delle macchine per la giornata di domani (lunedì, ndr), inizio della settimana lavorativa".
 
© RIPRODUZIONE RISERVATA