Blog

Avast segnala l’attacco di WanaCrypt0r 2.0

WanaCrypt0r 2.0

Sono oltre 100 i paesi colpiti dal nuovo ransomware il 12 maggio 2017 secondo le segnalazioni di Avast. In 24 ore WanaCrypt0r 2.0 è stato individuato su oltre 126.000 dispositivi. La notorietà di questo malware è stata segnalata anche da vari giornali italiani, come ad esempio ilfattoquotidiano.it o nei telegiornali. I paesi che hanno subito i maggiori attacchi sono la Russia, l’Ucraina e Taiwan.

La mappa indica in base al colore più o meno scuro il grado di infezione da parte del ransomware.

I tecnici Avast avevano già individuato la prima versione nel febbraio scorso, ma da allora il ransomware si è evoluto aggiungendo il supporto a 28 lingue dal bulgaro al vietnemita.

Caratteristiche del malware

WanaCrypt0r 2.0, come la maggior parte dei ransomware, cifra i file contenenti dati, come immagini e file di testo ed aggiunge all’estensione dei file cifrati una nuova estensione: “.WNCRY”. In questo modo il file compromesso cambierà ad esempio da nome_originale.jpg in nome_originale.jpg.WNCRY.

Il ransomware scrive alcune note in un file:

Inoltre il ransomware chiede all’utente infettato 300$ in bitcoin.

Le istruzioni spiegano chiaramente le modalità per ottenere la decifratura dei propri dati. Un count down mostra il tempo rimasto per farlo prima di perdere la possibilità di recuperarli.

Se si tenta di intervenire rimuovendo i file del ransomeware si ottiene un altro messaggio che mostra quanto sia pericoloso questo tipo di minaccia.

Questo tipo di minacce sono molto fastidiose per gli utenti privati. Lo sono ancor di più quando colpiscono grandi aziende, interrompendone l’attività, come Renault o Telefonica o enti pubblici come gli ospedali, mettendo a rischio la vita dei degenti, come è successo nel Regno Unito.

Avast è in grado di riconoscere tutte le versioni note di WanaCrypt0r 2.0. Tuttavia è importante mantenere il proprio sistema operativo aggiornato e cautelarsi con una seria politica di backup.

Il vettore dell’infezione

Per diffondersi così velocemente WanaCrypt0r 2.0 ha usato un exploit messo a punto da “the Equation Group”. Si tratta di un gruppo di haker che collabora con l’NSA e che ha usato in passato questo exploit per il proprio “lavoro sporco”. Sembra che un altro gruppo di haker noto come ShadowBrokers sia riuscito a rubare questo exploit, conosciuto come ETERNALBLUE o MS17-010, e lo abbia integrato nel WanaCrypt0r 2.0. Si tratta di una vulnerabilità Windows SMB (Server Message Block, un protocollo di condivisione file).

Per maggiori dettagli si rimanda all’articolo sul blog di Avast.

@mauroaiuto