domenica 14 maggio 2017

Wanna Cry (attacco informatico) come salvarsi


Il 12 Maggio 2017 un massiccio attacco informatico di dimensioni mai viste prima, ha coinvolto oltre 74 paesi alcuni addirittura costretti a chiedere aiuto come Spagna ed Inghilterra. L’attacco ha sfruttato la forte presenza di sistemi operativi datati e non più aggiornati come Windows XP ancora molto presente nei computer del sistema Sanitario Nazionale dell’Inghilterra e di diverse aziende a Madrid. Sui computer compare un messaggio con la richiesta di pagare un riscatto di 300 dollari in bitcoin, per poter riavere l’accesso. Il Virus si pensa sia una variante dei ransomware Crypto Locker e tutti quelli con schermata POLIZIA DI STATO-GUARDIA DI FINANZA. Infatti metodologia e flussi di infezione sono gli stessi dei ransomware già noti.

Come parte l’attacco?
 Il ransomware Wanna Cryptor, conosciuto anche con il nome di Wanna Cry (voglio piangere)  si diffonde quando l’utente apre una mail che contiene il file infetto. A quel punto il danno è fatto.
Tutti i file presenti sul computer vengono criptati e a tutti viene aggiunta l’estensione .wcry Vengono eliminate le copie di sicurezza del sistema operativo presenti nelle partizioni nascoste, così da impedire il ripristino. Il pc mostra solo e unicamente il messaggio con la richiesta di riscatto.





Di Seguito vi allego la procedura per la rimozione sicura del virus: 



Primo Metodo: 

1.    spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto (per la fase di accensione) il tasto “F8”; 2.     cliccare con il mouse su START (oppure AVVIO o ancora sull'icona di Windows) posto in basso a sinistra della barra delle applicazioni; 3.    all’apertura del menu a tendina verticale fare clic su "Tutti i programmi", così da aprire l’elenco dei software installati; 4.     cercare la cartella "Esecuzione automatica" e, una volta individuata, fare clic con il mouse sull’icona corrispondente; 5.    sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer senza intervento di chi è alla tastiera; 6.    dovrebbe apparire, tra gli altri, il file "WPBT0.dll" oppure un file con nome identificativo del tipo "0.< una serie di altri numeri >.exe" (il file si può presentare in altre varianti sintattiche); 7.    selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer; 8.     selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware; 9.    spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione; 10.          provvedere all’installazione (e al costante aggiornamento) di un programma antivirus che possa preservare da futuri analoghi inconvenienti. 

Secondo Metodo: 


1) dal prompt digitare: regedit.exe (dopo premere invio)

2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDoppio click su: shell
compare la finestra di modifica: %user%\Dati Applicazioni\mahmud.exe Modificare in: EXPLORER.EXE




dove %user% è :per Windows 2000/Xp e Server 2003c:\documents and settings\<nome utente>per Windows Vista/7 e Server 2008 2008
c:\users\<nome utente>



3) Uscire da regedit
4) Cancellare il file infetto con i comandi dos:

a. con Windows 2000/XP/Server 2003:i. cd "Dati Applicazioni"ii. del mahmud.exe



b. Con Windows Vista/Seven/2008:
i. cd Appdata
ii. cd roaming
iii. del mahmud.exe


5) riavviare il computer, dal prompt digitare:


shutdown -r -t 0





 Il cyber-attacco ha approfittato di una vulnerabilità del sistema operativo Windows di Microsoft: sono stati presi di mira i computer che non avevano installato alcuni aggiornamenti diffusi da Microsoft il 14 marzo per tutelare proprio da attacchi ransomware o sistemi vecchi per i quali gli aggiornamenti non esistono, come il sistema Windows XP che ha 16 anni. Secondo diversi ricercatori, alcune vittime hanno pagato il riscatto in Bitcoin, ma non si può sapere a quanto ammonti la somma complessiva trasferita agli estorsori a causa della natura anonima di questo tipo di transazioni in valuta virtuale.
Considerando che i ransomware agiscono più o meno tutti alla stessa maniera vi allego una guida che può essere presa in considerazione per tutte le versioni di questi virus.

Nessun commento:

Posta un commento

Post più popolari