Una specie di ransomware chiamato WannaCry si è guadagnato i titoli di testa delle risorse di sicurezza leader al mondo. Tutta questa attenzione ha un motivo. Questa infezione ha attaccato diverse grandi aziende in Europa nel corso degli ultimi giorni, e continua a colpire con costanza. Il ransom Trojan cripta i documenti di dati proprietari dei suoi obiettivi e li infetta con l’estensione file .WNCRY.
Il file virus.WNCRY, che si manifesta anche come Wana Decrypt0r 2.0, rappresenta una linea relativamente nuova di cripto minacce. Dall’esterno, sembra simile al suo precursore chiamato WCRY, o Wanna Decryptor 1.0. Agli architetti di questa campagna è stato necessario poco più di un mese per rilasciare una versione aggiornata della loro piaga. L’ultima variante si è dimostrata molto più complessa e robusta in termini di propagazione, meccanismo di criptazione e tecniche di estorsione. La rapidità della sua circolazione è senza precedenti – a quanto pare ha contaminato ben 57.000 computer nel corso di sole poche ore al 12 maggio 2017.
L’identificazione di questa specie è piuttosto prosaica. Dopo aver completato la catena di contaminazione, configura il sistema obiettivo perché visualizzi un nuovo sfondo del desktop con un messaggio divertimento. Inoltre, appare una schermata dal titolo Wana Decrypt0r 2.0, che fornisce dettagli su ciò che è accaduto e visualizza la quantità di tempo rimasto per poter inviare il riscatto. Le informazioni contenute in questa finestra includono anche la taglia del riscatto, che è in Bitcoin per un totale equivalente a $ 300, così come l’indirizzo Bitcoin verso cui spedire il contante digitale. Un altro segno distintivo cospicuo dell’assalto è la nuova estensione file che viene aggiunta ai dati criptati. La lista di possibili estensioni a questo punto include.WNCRY, .WCRY, .WNRY, e .WNCRYPT. La prima, .WNCRY, è quella che si incontra più di frequente durante questa particolare ondata di ransomware. I filename originali non vengono alterati, quindi le vittime stavano si trovano alla seguente trasformazione di un file di esempio: Chart.xlsx – Chart.xlsx.WNCRY.
Il ransomware WannaCry inoltre lascia una nota di riscatto in semplice testo per assicurarsi che la vittima riesca a trovare il tutorial per la decretazione imposto dagli attaccanti. Si chiama @Please_Read_Me@.txt. Le frasi sono lievemente diverse rispetto alla finestra divertimento citata sopra. Recita, “Cosa c’è che non va con i miei file? Oooops, i tuoi file importanti sono stati criptati…” Per farla breve, il metodo di recupero suggerito dai ladri presuppone che l’utente paghi un valore di $ 300 in Bitcoin e poi esegua un’applicazione chiamata @wanadecryptor@.exe, che viene scaricata sul computer come parte dell’attacco.
Per proteggersi dalla terminazione, il virus WannaCry visualizza con i consigli sul nuovo sfondo del desktop. Fornisce i passi applicabili se la suite anti malware della vittima ha rimosso lo strumento Wana Decrypt0r. Il messaggio desktop specifica le istruzioni per rilanciare l’eseguibile malevolo per poter abilitare il procedimento della decretazione tramite pagamento. Tutto sommato, l’attacco sembra ben pianificato da ogni prospettiva, cosa che suggerisce che questa campagna venga portata avanti da veri professionisti con un background significativo nel campo dell’estorsione.
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L'uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
È stato menzionato che WannaCry ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c'è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d'occhio, eccetto naturalmente sottomettersi all'impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti - scoprite quale sono.
È piuttosto interessante sapere che l'infezione WannaCry elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C'è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell'eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da WannaCry sarà tanto semplice quanto accedere all'interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
Come ho già detto, la semplice rimozione di WannaCry non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.
Non di rado accade che WannaCry sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.