WannaCry cos’è e come funziona?

0
601
WannaCry cos’è e come funziona?

La diffusione di WannaCry

La diffusione del cryptovirus denominato “Wannacry” ha colpito decine di migliaia di computer in tutto il mondo, ospedali ed enti pubblici sono stati colpiti e bloccati dal malware che rende inutilizzabili i documenti del proprio PC tramite cifratura. La password per decifrare i file viene consegnata all’utente soltanto dietro pagamento di un riscatto in bitcoin, tuttavia non è assolutamente sicuro che i file vengano decifrati dopo il pagamento. La diffusione di Wannacry è stata mondiale, ha colpito decine di paesi in misura diversa, soprattutto Russia, Ucraina, India e Taiwan.
Il virus si diffonde attraverso una vulnerabilità dei sistemi Windows che era già stata scoperta e chiusa un paio di mesi fa da Microsoft grazie ad alcuni aggiornamenti pubblicati gratuitamente.

WannaCry cos'è e come funziona

 

Come funziona WannaCry

Il malware Wannacry sfrutta una vulnerabilità dei sistemi Windows denominata EternalBlue che è stata scoperta e utilizzata dalla NSA, fino a quando il segreto non è stato reso pubblico e Microsoft ha rilasciato la patch per Windows a Marzo 2017.
Prima di iniziare la cifratura dei file, il componente worm di WanaCrypt0r controlla l’esistenza online dei seguenti URL:

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
hxxp://ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Nel caso in cui questi domini rispondano (ovvero esistano), il malware non si attiva e termina la propria esecuzione. Questi domini, definiti come dei “kill switch”, sono stati successivamente registrati da un MalwareTech ed utilizzati come sinkhole, fermando l’azione del malware e rallentando temporaneamente la sua diffusione. Infatti i domini, composti da caratteri casuali non si attivano se i domini sono registrati. Si ha già notizia di una nuova versione di wannaCry che non ha un “kill switch” al suo interno ed è quindi molto più difficile da contrastare. La prevenzione è al momento la soluzione più efficace contro questo ransomware.

La nota di riscatto

Q: What’s wrong with my files?

A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let’s start decrypting!

Q: What do I do?

A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Next, please find an application file named “@WanaDecryptor@.exe”. It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)

Q: How can I trust?

A: Don’t worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.

 

* If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.

 

Salva