Ransomware WannaCrypt: come proteggersi

Negli ultimi giorni si è tanto sentito parlare di un attacco hacker tramite ransomware.
Ma cos’è? Come proteggersi?

Il ransomware in questione si chiama WanaCrypt0r 2.0 (noto anche come WannaCry o WCry).
Il modus operandi del ransomware è sempre il classico: file dei computer infetti criptati e richiesta di risarcimento di 300 dollari a macchina in criptovaluta Bitcoin per riottenere accesso. Gli ultimatum sono piuttosto perentori: 3 giorni o il prezzo raddoppia, e dopo 7 giorni i file andranno persi per sempre. Il virus infetta una macchina vulnerabile in una rete e, dopo aver criptato i file, inizia a replicarsi sulla rete locale attraverso SMB.

La vulnerabilità sfruttata riguarda infatti proprio il Server SMB di Windows. Il problema, noto come MS17-010, è stato corretto da Microsoft già 2 mesi fa, ma a quanto pare molte macchine non erano ancora state aggiornate. I dettagli dell’exploit sono stati diffusi dal gruppo di hacker noto come The Shadow Brokers, nome già conosciuto in relazione alla massiccia fuga di informazioni sui tool di intrusione informatica dell’NSA.

Come scoprire se il proprio sistema è vulnerabile? Cosa fare per proteggerlo?
Tutto dipende dalla versione del proprio sistema operativo.

Windows 7 e Windows Server 2008 R2
Controllare, tra gli aggiornamenti già installati sul sistema, la presenza delle patch contraddistinte dai seguenti indentificativi:KB4019264, aggiornamento cumulativo di maggio, 2017-05
KB4015552, anteprima aggiornamento cumulativo di aprile 2017
KB4015549, aggiornamento cumulativo di aprile 2017
KB4012215, aggiornamento cumulativo di marzo 2017
KB4012212, aggiornamento cumulativo di marzo 2017 (solo patch di sicurezza)

Se almeno uno qualunque degli aggiornamenti indicati risultasse già presente, il sistema Windows 7 o Windows Server 2008 R2 è adeguatamente protetto.
Diversamente, il suggerimento è quello di installare immediatamente almeno il pacchetto KB4012212, scaricabile cliccando qui nelle versioni a 32 e 64 bit (“per sistemi x64”).

Windows 8.1 e Windows Server 2012 R2
Come nel caso precedente, è bene controllare la presenza di almeno una delle seguenti patch:

KB4019215, aggiornamento cumulativo di maggio, 2017-05
KB4015553, anteprima aggiornamento cumulativo di aprile 2017
KB4015550, aggiornamento cumulativo di aprile 2017
KB4012216, aggiornamento cumulativo di marzo 2017
KB4012213, aggiornamento cumulativo di marzo 2017 (solo patch di sicurezza)

Nel caso in cui tutti gli aggiornamenti fossero assenti, si dovrà provvedere subito ad installare almeno l’aggiornamento KB4012213.

Windows Vista
Nella schermata degli aggiornamenti installati, si deve verificare la presenza della patch KB4012598. Nel caso in cui fosse assente, si deve provvedere al download e alla sua installazione facendo riferimento a questo link.

Windows 10
Premere la combinazione di tasti Windows+R quindi digitare winver e premere Invio.
Se si legge 1703 come numero di versione (Creators Update), il sistema è già in sicurezza.

Nel caso in cui comparisse “Versione 1607” (Anniversary Update) controllare il numero di build accanto: il sistema è sicuro se appare 14393.953 o versioni successive.
Nel caso in cui si leggesse un numero di build precedente oppure “Versione 1511” o, addirittura, “Versione 1507“, si dovrà aggiornare all’ultima versione di Windows 10.
Per installare il Creators Update, si può procedere anche manualmente (consigliato se si utilizzasse ancora una vecchia versione di Windows 10):
Dopo aver scaricato e avviato Windows 10 Update Assistant, cliccando sul pulsante Aggiorna, il software verificherà la compatibilità del sistema in uso (non avviare il programma di aggiornamento su una macchina facente parte del programma Windows Insider) quindi procederà con il download dei file necessari per l’installazione del Creators Update. A installazione avvenuta, premendo la combinazione di tasti Windows+R quindi digitando winver, si leggerà il nuovo numero di versione di Windows.

Windows XP, Windows Server 2003 e Windows 8
Windows XP, Windows Server 2003 e Windows 8 sono sistemi operativi non più supportati da parte di Microsoft. Considerata la gravità del problema di sicurezza che ha portato alla rapida diffusione del ransomware WannaCry, Microsoft ha rilasciato – in via eccezionale – anche gli aggiornamenti per i sistemi Windows ormai abbandonati.

La patch MS17-010 per Windows XP, Windows Server 2003 e Windows 8 è scaricabile e installabile manualmente da questo indirizzo.