Una specie di ransomware chiamato WannaCry si è guadagnato i titoli di testa delle risorse di sicurezza leader al mondo. Tutta questa attenzione ha un motivo. Questa infezione ha attaccato diverse grandi aziende in Europa nel corso degli ultimi giorni, e continua a colpire con costanza. Il ransom Trojan cripta i documenti di dati proprietari dei suoi obiettivi e li infetta con l’estensione file .WNCRY.
Il file virus.WNCRY, che si manifesta anche come Wana Decrypt0r 2.0, rappresenta una linea relativamente nuova di cripto minacce. Dall’esterno, sembra simile al suo precursore chiamato WCRY, o Wanna Decryptor 1.0. Agli architetti di questa campagna è stato necessario poco più di un mese per rilasciare una versione aggiornata della loro piaga. L’ultima variante si è dimostrata molto più complessa e robusta in termini di propagazione, meccanismo di criptazione e tecniche di estorsione. La rapidità della sua circolazione è senza precedenti – a quanto pare ha contaminato ben 57.000 computer nel corso di sole poche ore al 12 maggio 2017.
L’identificazione di questa specie è piuttosto prosaica. Dopo aver completato la catena di contaminazione, configura il sistema obiettivo perché visualizzi un nuovo sfondo del desktop con un messaggio divertimento. Inoltre, appare una schermata dal titolo Wana Decrypt0r 2.0, che fornisce dettagli su ciò che è accaduto e visualizza la quantità di tempo rimasto per poter inviare il riscatto. Le informazioni contenute in questa finestra includono anche la taglia del riscatto, che è in Bitcoin per un totale equivalente a $ 300, così come l’indirizzo Bitcoin verso cui spedire il contante digitale. Un altro segno distintivo cospicuo dell’assalto è la nuova estensione file che viene aggiunta ai dati criptati. La lista di possibili estensioni a questo punto include.WNCRY, .WCRY, .WNRY, e .WNCRYPT. La prima, .WNCRY, è quella che si incontra più di frequente durante questa particolare ondata di ransomware. I filename originali non vengono alterati, quindi le vittime stavano si trovano alla seguente trasformazione di un file di esempio: Chart.xlsx – Chart.xlsx.WNCRY.
Il ransomware WannaCry inoltre lascia una nota di riscatto in semplice testo per assicurarsi che la vittima riesca a trovare il tutorial per la decretazione imposto dagli attaccanti. Si chiama @Please_Read_Me@.txt. Le frasi sono lievemente diverse rispetto alla finestra divertimento citata sopra. Recita, “Cosa c’è che non va con i miei file? Oooops, i tuoi file importanti sono stati criptati…” Per farla breve, il metodo di recupero suggerito dai ladri presuppone che l’utente paghi un valore di $ 300 in Bitcoin e poi esegua un’applicazione chiamata @wanadecryptor@.exe, che viene scaricata sul computer come parte dell’attacco.
Per proteggersi dalla terminazione, il virus WannaCry visualizza con i consigli sul nuovo sfondo del desktop. Fornisce i passi applicabili se la suite anti malware della vittima ha rimosso lo strumento Wana Decrypt0r. Il messaggio desktop specifica le istruzioni per rilanciare l’eseguibile malevolo per poter abilitare il procedimento della decretazione tramite pagamento. Tutto sommato, l’attacco sembra ben pianificato da ogni prospettiva, cosa che suggerisce che questa campagna venga portata avanti da veri professionisti con un background significativo nel campo dell’estorsione.
La terminazione di questo ransomware può essere portata a termine in modo efficiente con un software di sicurezza affidabile. Aderire alla tecnica di pulizia automatica assicura che tutti i componenti dell’infezione vengano accuratamente spazzati via dal vostro sistema.
Soluzione Alternativa n°1: Usare un software di ripristino file
È importante sapere che il virus WannaCry crea delle copie dei vostri file e le cripta. Nel frattempo, i file originali vengono eliminati. Ci sono delle applicazioni sul mercato che possono ripristinare i dati rimossi. Potete utilizzare strumenti come Data Recovery Pro per questo scopo. La versione più recente del ransomware considerato tende ad applicare una eliminazione sicura con diverse sovrascritture, ma in ogni caso vale la pena provare questo metodo.
Soluzione Alternativa n°2: Usare i backup
Per prima cosa, questo è un ottimo modo per recuperare vostri file. Può essere applicato, però, solo se avete effettuato il backup delle informazioni conservate sulla vostra macchina. In questo caso, non esitate a sfruttare la vostra previdenza.
Soluzione Alternativa n°3: Usare Copie Shadow Volume
In caso non lo sappiate, il sistema operativo crea delle cosiddette Shadow Volume Copies di ogni file fintanto che è attivato il Ripristino di Sistema sul computer. Dato che vengono creati dei punti di ripristino ad intervalli specifici, vengono generate anche delle istantanee dei file così come questi appaiono in quel momento. Tenete in considerazione che questo metodo non assicura il recupero delle versioni più recenti dei vostri file. Certamente però vale la pena provare. Questo flusso di lavoro è attuabile in due modi: manualmente e attraverso l’uso di una soluzione automatica. Diamo prima un’occhiata al processo manuale.
Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
Di nuovo, la sola rimozione del malware non porta alla decriptazione dei vostri file personali. I metodi di ripristino dati evidenziati sopra possono o non possono funzionare, ma il ransomware di per se stesso non può stare sul vostro computer. Incidentalmente, spesso è accoppiato ad altro malware, ed ecco perché ha decisamente senso analizzare ripetutamente il sistema con un software di sicurezza automatico per poter garantire che non ci siano resti nocivi di questo virus e delle minacce associate all’interno del Registro Windows e di altre posizioni.
Scarica lo strumento di rimozione del virus ransomware WannaCry