WannaCry ransomware è la nuova e diffusa cyber pandemia che ha già preso in ostaggio più di 230.000 computer. Con il suo attuale volume di dispersione, WannaCry si sta avvicinando al livello di altre famigerate minacce informatiche come Cerber o Locky.
Tuttavia, ciò che distingue wcry da questi due parassiti più pericolosi dell'ultimo anno è l'uso di nuove tecniche di distribuzione che fanno non è necessario che le vittime facciano clic sui collegamenti infetti o prendano parte all'acquisizione del ransomware in nessun altro modo.
Il malware utilizza pratiche e strumenti utilizzati dall'intelligence statunitense per entrare nei computer ed eseguire lo script dannoso per rendere inaccessibili i dati dell'utente. In particolare, il ransomware utilizza l'exploit EternalBlue per colpire i dispositivi Windows con una vulnerabilità MS17-010 senza patch. Questa lacuna di sicurezza è aperta nelle versioni di Windows che non sono più supportate e non ricevono aggiornamenti di sicurezza.
Fortunatamente, in risposta agli ultimi eventi, Microsoft ha rilasciato patch di emergenza per Windows XP, Windows Server 2003, Windows 8 e alcuni altri sistemi operativi obsoleti. Ma anche l'aggiornamento del software potrebbe non essere sufficiente per prevenire attacchi ransomware.
Di seguito, forniremo istruzioni su come disabilitare la funzionalità SMB (Server Message Block) utilizzata per distribuire il dannoso WanaCrypt0r file sul computer. Ma prima di andare al tutorial, vogliamo dare una breve definizione del malware e di come si comporta sul computer infetto, per aiutarti a riconoscerlo più facilmente.
Wannacry utilizza estensioni diverse per contrassegnare i file crittografati
Come avrai notato, nei paragrafi precedenti abbiamo usato nomi diversi per fare riferimento al virus WannaCry. È a causa del virus, infatti, che viaggia in una varietà di forme e forme diverse, molto probabilmente più difficili da riconoscere e terminare.
La ricerca ha rivelato che il virus ora utilizza quattro diverse estensioni .wncry, .wncrytt, .wcry o .wncryt per contrassegnare i file crittografati, ma possiamo aspettarci più variazioni man mano che il ransomware si alza velocità. Per eliminare queste estensioni e recuperare i file, gli utenti devono pagare gli estorsori fino a 600 dollari in Bitcoin; in caso contrario, i dati crittografati verranno distrutti. @[e-mail protetta] finestra apre un timer che conta alla rovescia il tempo fino alla distruzione dei dati. Sfortunatamente, attualmente non esiste alcun software di decrittazione gratuito che possa aiutare a recuperare gratuitamente i dati crittografati.
Quindi, una volta che sei stato infettato, non c'è davvero molto che puoi fare per annullare le conseguenze dell'attacco. Quindi, è molto più importante agire e proteggere il tuo dispositivo prima che qualsiasi virus metta piede sul tuo sistema. Ecco alcuni passaggi da eseguire per prevenire l'infiltrazione di WannaCry.
Come disabilitare SMB e prevenire l'attacco WannaCry?
La funzione SMB (Server Message Block) è la principale vulnerabilità che consente al ransomware di infettare i computer. Poiché questa funzione è abilitata su Windows per impostazione predefinita, gli estorsionisti possono facilmente utilizzarla per eseguire l'attacco. Pertanto, ti consigliamo vivamente di disabilitarlo se non lo stai utilizzando. È davvero semplice e puoi realizzarlo in tre passaggi fondamentali:
- Fare clic sul logo di Windows nell'angolo in basso a sinistra dello schermo e digitare "Funzionalità di Windows" nella barra di ricerca
- Apri la finestra delle funzionalità e vai alle impostazioni e cerca la voce SMB. Deselezionalo e fai clic su OK
- Riavvia il computer
Puoi anche disabilitare SMB tramite PowerShell. Quello che devi fare è digitare "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". Dopo che la funzione è stata disabilitata, ti consigliamo di riavviare il computer.