Wannacry: cos’è e come infetta i computer
Che cos’è Wannacry?
Wannacry è un virus informatico della famiglia dei ransomware che è comparso per la prima volta nella primavera del 2017 e si è diffuso a macchia d’olio attraverso una serie di reti di computer. Infetta solamente i sistemi operativi Windows e crea seri problemi al PC del malcapitato; innanzitutto crittografa i file sul disco rigido del PC rendendone impossibile l’accesso agli utenti, quindi richiede un pagamento di riscatto in bitcoin per decifrarli. Wannacry è stato definito dagli esperti uno degli strumenti peggiori da combattere per chi tratta sicurezza informatica.
Una serie di fattori ha reso particolarmente interessante la diffusione iniziale di Wannacry: ha colpito una serie di sistemi importanti e di alto profilo, compresi aeroporti, stazioni ferroviarie ed addirittura l’intero servizio sanitario inglese. La sua comparsa è dovuta al fatto che i criminali informatici che hanno progettato questo attacco hanno sfruttato una vulnerabilità di Windows per insidiarsi nei primi computer; anche se Microsoft è corsa subito ai ripari moltissimi utenti sono stati comunque potenzialmente attaccabili da questo virus perchè non hanno mai effettuato l’aggiornamento di sicurezza rilasciato.
Come funziona Wannacry?
Wannacry può essere sintetizzato in poche parole come un prolifico attacco di hacking a cura di criminali informatici, che tiene in ostaggio il tuo computer fino a quando non paghi un riscatto.
Anche se un PC è stato infettato, Wannacry non inizierà a crittografare i file da subito. Il virus è formato da più elementi, ognuno dei quali ha un compito preciso. Vediamo i principali passaggi con cui avviene l’attacco:
- Il virus si inietta nel computer tramite un file auto installante; l’utente non si accorge di nulla in quanto per il momento non vi è alcuna azione malevola;
- Una volta che il virus è attivo inizia ad effettuare una scansione interna alla ricerca di documenti, immagini e video. Solitamente Wannacry cerca file docs, pdf, jpeg ed avi. Non è interessato invece ad estensioni meno diffuse (come ad esempio i file Autocad);
- Quando tutti i file interessati sono stati individuati il virus cerca una connessione ad internet per inviare un url malevolo che farà attivare tutta la procedura;
- Individuato l’url Wannacry effettua una crittografia dei file scansionati e a video dell’utente appare il messaggio che lo informa dell’attacco con una richiesta in bitcoin per fornire la chiave crittografica. Più passa il tempo, più la cifra richiesta aumenta.
Questa è in sostanza la procedura standard con cui avviene l’attacco. Abbiamo utilizzato il termine “procedura standard” perchè esistono ad oggi migliaia di variabili di Wannacry in continua evoluzione.
Quali sono i sistemi operativi più colpiti da Wannacry?
Dopo la massiccia diffusione di Wannacry, Microsoft è corsa subito ai ripari rilasciando una patch per tutti i sistemi operativi supportati. Inizialmente è uscita per Windows 10, Windows 8 e Windows 7 ma non per Windows XP in quanto quest’ultimo non era più supportato.
A seguito della protesta di moltissimi utenti e dalla diffusione inarrestabile del virus, Microsoft in un secondo momento ha rilasciato un aggiornamento anche per il sistema operativo più vecchio consentendo anche ai PC con software più datato di mettersi potenzialmente al riparo da questa minaccia. Nonostante Windows XP non sia più supportato da anni, esistono purtroppo ancora numerose installazioni presenti (si stima circa il 15% del totale su scala mondiale).
Come prevenire Wannacry
Per prevenire Wannacry e qualsiasi ransomware del genere abbiamo solo un’arma a disposizione: effettuare i backup. Possiamo salvare i dati all’interno del nostro PC tramite chiavetta o disco esterno oppure dotarci di un NAS di rete che è la soluzione più pratica e sicura. In abbinamento a questi strumenti è molto utile avere anche un software per automatizzare i backup, funzione molto utile nel caso stiamo utilizzando un NAS. Il software infatti, una volta configurato, effettua automaticamente i salvataggi senza che l’utente debba ogni volta ricordarsi. In commercio esistono molti programmi di backup sia gratuiti che a pagamento.
Wannacry nel 2019
A distanza di due anni il questo virus informatico non è stato ancora completamente risolto. Ad esempio nel marzo 2018, l’azienda Boeing è stata colpita da un sospetto attacco Wannacry anche se la società ha affermato di aver subito pochi danni e che nessun dato all’interno dei loro sistemi sia stato perduto. Boeing quindi è stata in grado di fermare l’attacco e rimettere rapidamente in funzione i sistemi interessati tramite backup Ghost.
Il pericolo maggiore oggi è rappresentato dalle varianti di Wannacry o, più specificamente, da nuovi malware basati sullo stesso codice di Wannacry (chiamato EternalBlue ). Nel maggio 2018, ESET ha pubblicato una ricerca che ha mostrato rilevamenti di malware basati su EternalBlue che hanno superato il loro livello più alto nel 2017. Immediatamente dopo WannaCry, i rilevamenti di attacchi basati su EternalBlue sono scesi a poche centinaia al giorno, ma non sono mai stati completamente debellati.
Cosa devo fare se il mio computer è infetto?
Ad oggi non sembra esserci un modo provato per risolvere Wannacry. Nonostante i motori di ricerca siano pieni di articoli dove fantomatici informatici sostengono di avere debellato il virus, di fatto non esiste ancora un metodo scientifico certificato per rimuovere l’infezione.
Pagare il riscatto non è la soluzione migliore per due motivi: prima di tutto si alimenta il mercato della criminalità informatica, in secondo luogo non si ha comunque la certezza di riuscire a recuperare i dati.
Wannacry potrebbe attaccare in futuro altri sistemi operativi?
No. Sembra interessare solo i computer basati su Microsoft Windows perchè sfrutta una vulnerabilità nativa del software di casa Microsoft. Al momento quindi sono esclusi tutti gli altri sistemi operativi desktop come MacOs e Linux e quelli mobile come Android.