Il ransomware Wanna Cry e la spiegazione della CNN che fa piangere

Gioco di parole: il virus Wanna Cry, che in inglese significherebbe “vorrei piangere” qui usa una parola troncata: CRY-pt, per cui VORREI CRIPTARE diventa VORREI PIANGERE (ma invece cripta!) e chiude i file dei computer dove riesce a penetrare in un forziere la cui chiave è spesso irrecuperabile!

Il corrispondente tecnologico della CNN riferisce che gli esperti di sicurezza ritengono “questo pezzo di codice malevolo il più pericoloso e più diffuso che abbiano mai visto” specialmente anche perché ha bloccato interi ospedali in Gran Bretagna, costringendo a cancellare tutti gli appuntamenti per le visite mediche (in quanto inserite nel sistema informatico ormai bloccato) oppure perché ha bloccato parecchi dati di una compagnia di energia e gas e della Telefonica in Spagna. Poi il software che ha bloccato i file, chiede 300 dollari (0,17 Bitcoin) per riottenere indietro i file. E questo succede in centinaia di migliaia di computer di oltre 100 nazioni, come ha ben spiegato anche la Kaspersky. La colpa, oltre che del programmatore del virus, sarebbe di chi non ha aggiornato il proprio computer Windows, la cui “cura” sarebbe uscita a marzo 2017 per cui, nei due mesi di duro lavoro, il programmatore, dalla cura proposta da Microsoft, ha compreso la possibile via di entrata di un suo virus nei sistemi che non sono stati aggiornati.

Ma ad un certo punto il corrispondente dichiara:

You don’t have to clic a phisgnig e-mail to get infected.
Non devi fare clic su una email di phishnig per essere infettato.

Ma questo non è così! Eppure prosegue:

How can You protect yourself? Well, You know those seamingly installing security update from Microsoft? If you’ve installed them, you-re safe!
Come potete proteggervi? Bene, voi conoscete gli aggiornamenti di sicurezza di Microsoft che si installano senza problemi? Una volta che li avete attivati, siete al sicuro!

Il consulente si riferisce al noto aggiornamento di Marzo 2017 per tutti i sistemi Windows (da XP, pensate un po’, uscito nel 2002, passando per Vista, 7, 8 e fino al 10), Invece no! Tutti i virus che criptano i file e chiedono un riscatto, i cosiddetti RANSOMWARE, si attivano dopo aver scaricato un allegato da un’email o dopo aver fatto clic su un sito web con codice pericoloso su un primo PC con Windows; e quello è un PC INFETTO! E già sappiamo che, come negli altri casi di ransomware (cryptolocker, locky, osiris, ecc.) il danno si propagava alle Pennette USB, ai dischi USB collegati al PC e poi alla Rete LAN, ma solo in presenza di cartelle condivise a cui l’utente del PC infetto aveva accesso in lettura e scrittura.

La falsa rassicurazione sul Wanna Cry

Nel caso del Wanna Cry l’infezione estesa è il risultato di un secondo momento, la propagazione all’interno di una rete LAN di una organizzazione (qui gli ospedali, ma vale per qualunque rete LAN aziendale, di ufficio, privata, ecc.) grazie alla vulnerabilità di Windows di cui si è detto sopra. Per cui l’anello debole della catena è sempre il PC infetto con un agente esterno; solo che in questo caso poi il virus risale tutti gli altri anelli deboli della catena! Quindi è FALSO che “Non devi fare clic su una email di phishnig per essere infettato” perché da qualche parte il virus deve pure poter entrare ed è proprio facendo clic su quella email che il PC viene infettato! E TUTTI I FILE CRIPTATI con estensione .WNCRY e questo PROBABILMENTE PER SEMPRE!

La prova: una email con un Wanna Cry allegato tramite finto CV

E la prova ce l’ho proprio sul mio PC! Il il 7 maggio 2017 mi è arrivato un messaggio di posta con un Wanna Cry in piena regola, di quelli che si propagano via email con un CV in allegato, cioè un Curriclulm Vitae da tale mittente: Floriana Fallico ed indirizzo email floriana.fallico@agenzia-entrate.com ! Data la diffusione del virus ritengo che purtroppo in molti abbiano aperto questa e-mail, per cui la dabbenaggine, più che la mala accortezza di fronte a simile mittente, è la concausa di tale diffusione. Per quanto mi riguarda sarebbe bastato che io avessi aperto l’allegato di tale messaggio ed avrei attivato il virus! Invece, lasciato lì qualche giorno a decantare, l’ho invece, analizzato il 10 maggio con il Kaspersky Antivirus, il virus è stato individuato ed eliminato.

La pazienza aiuta, la fretta NO!

Ma dato che gli archivi della Kaspersky (e in generale di tutte le società degli antivirus) NON sono immediatamente aggiornati dopo l’uscita di un virus, ma solo dopo la sua diffusione e la sua scoperta, noi siamo protetti SOLO DIVERSO TEMPO DOPO che il virus è stato scoperto e comunque solo se abbiamo aggiornato l’antivirus.

Attenzione: in questo caso la definizione del Wanna Cry è stata inserita di sicuro tra il 7 e il 10 maggio e così il virus è stato rilevato; ma se l’antivirus non avesse rilevato nulla, questo NON AVREBBE SIGNIFICATO che l’email era pulita per cui questo ragionamento vale solo in un senso, cioè se si trova un virus; mentre NON VALE SE NON LO SI TROVA.

Per cui la certezza che un messaggio sia esente da tutti virus non c’è; e questo test non è una pratica da eseguire se non si è dei coscienti di quello che si sta facendo e non sono state prese tutte le possibili misure di sicurezze, in quanto occorre operare in una SAND BOX (ad es. un sistema Windows in un macchina virtuale di TEST non connessa al WEB nella quale si scarica il messaggio oppure una macchina LINUX tipo Ubuntu con un antivirus per Linux, come ad es. CLAM così da avere la certezza che qualunque virus per Windows non potrà fare nuocere in alcun modo).

Ripeto: tutto questo che ho esposto è senza garanzia per chiunque che voglia provare ad aprire allegati sospetti ed occorre appunto muoversi con esperienza e cognizione di causa: al minimo errore scatta il virus e i dati del PC sono persi!

image_pdfScarica il PDFimage_printStampa

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*