Ransomware WannaCry, come difendersi in poche mosse

Torniamo a parlare di Ransomware argomento tornato molto d’attualità in questi giorni dopo che giornali e tv hanno parlato dell’attacco denominato Wannacry.

Chi ci segue da molto tempo saprà che dedichiamo particolare attenzione a tutto ciò che riguarda la sicurezza e in particolar modo ci siamo dedicati varie volte proprio a questi tipi di malware denominati Ransomware.

Eccovi un nostro articolo specifico su come tenere alla larga i Ransomware

Ransomware WannaCry, come difendersi in 10 mosse

In questo articolo, invece, ci vogliamo dedicare a questo malware specifico chiamato WannaCry e che in questi giorni ha preso di mira soprattutto enti pubblici ed aziende sfruttando una falla di Windows, falla risolta da Microsoft già da mesi(ma evidentemente gli amministratori di rete non hanno effettuato aggiornamenti)

L’Agid (Agenzia per l’Italia digitale) ha pubblicato delle linee guida per cercare di limitare al massimo gli effetti dannosi che possono provocare questo tipo di infezioni informatiche, in particolar modo quello che si sta diffondendo in questi giorni: WannaCry.

La procedura che segue consente di ridurre sensibilmente i rischi legati alla riaccensione di un sistema spento senza richiedere particolari conoscenze tecniche, per cui può essere eseguita, almeno nel caso di reti wired, anche da utenti non particolarmente esperti:

  1. Prima di accendere la macchina scollegarla dalla rete locale, disconnettendo il cavo di rete (nel caso di connessioni Wi-Fi occorre disabilitarne l’interfaccia prima che avvenga il caricamento del sistema operativo, tale operazione può non essere alla portata dell’utente).
  2. Accendere la macchina scollegata e verificare che l’avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, quali ad esempio ritardi molto prolungati, comparsa di messaggi insoliti, etc., non procedere oltre nel riavvio e chiedere il supporto esperto.
  3. Se l’avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull’hard disk della macchina una ricerca per file il cui nome abbia l’estensione .wncry. La ricerca deve terminare senza individuare alcun file, se invece ne viene individuato qualcuno non procedere oltre nel riavvio e chiedere il supporto esperto.
  4. Se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni, in particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all’apertura della sessione.
  5. Ricollegare il sistema alla rete locale e forzare l’aggiornamento dell’antivirus. Attendere che tale operazione sia completata prima di aprire qualsiasi applicazione, in particolare non accedere in nessun modo a sistemi di posta elettronica. Dopo il suo termine il sistema può essere utilizzato normalmente.

Nel caso in cui sul sistema non sia istallata la patch di cui al bollettino MS17-010, prima di collegarlo alla rete, disattivare il protocollo SMB ed istallare la patch insieme con l’aggiornamento dell’antivirus.

Il protocollo potrà essere riattivato, nel caso sia necessario, alla fine della procedura.

Particolare attenzione deve essere posta nella gestione dei messaggi di posta elettronica, che potrebbero essere utilizzati come vettore primario di infezione laddove sulla frontiera fosse bloccato il protocollo SMB, come consigliato al punto 1 dell’elenco contenuto nella sezione precedente.

In generale debbono essere scrupolosamente osservate le seguenti regole:

  • Non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine.
  • Non cliccare per nessuna ragione su link contenuti all’interno di mail di cui non sia assolutamente certa la provenienza, verificando direttamente con il mittente (e.g. telefonicamente) l’effettivo invio da parte sua del messaggio.

La sicurezza non è mai assoluta

La migliore protezione nei confronti degli eventi imprevisti, siano essi dolosi, colposi o casuali, è una copia di sicurezza dei dati aggiornata. Nel malaugurato caso che la cifratura dei dati sia già avvenuta, questa è la sola strada che permette il recupero delle informazioni, visto che anche l’eventuale pagamento del riscatto non garantisce l’effettivo ripristino dei file cifrati.

È opportuno, specie se non si è sicuri della completezza del contenuto della copia di sicurezza più aggiornata disponibile, generare una copia di sicurezza completa del sistema con i file cifrati prima di effettuare il ripristino.

Oltre che per eventuali indagini, essa potrebbe tornare utile se, in un futuro più o meno prossimo, venisse scoperta la chiave di decodifica dei file cifrati.

Link: Scarica il documento in formato PDF.

Fonte




Rispondi

Notificami per e-mail

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.