Il 12 Maggio
2017 un massiccio attacco
informatico di dimensioni mai viste prima, ha coinvolto oltre 74 paesi
alcuni addirittura costretti a chiedere aiuto come Spagna ed Inghilterra.
L’attacco ha sfruttato la forte presenza di sistemi operativi datati e non più
aggiornati come Windows XP ancora molto presente nei computer del sistema
Sanitario Nazionale dell’Inghilterra e di diverse aziende a Madrid. Sui computer compare
un messaggio con la richiesta di pagare un riscatto di 300 dollari in bitcoin,
per poter riavere l’accesso. Il Virus si pensa sia una variante dei ransomware
Crypto Locker e tutti quelli con schermata POLIZIA DI STATO-GUARDIA DI FINANZA.
Infatti metodologia e flussi di infezione sono gli stessi dei ransomware già
noti.
Come parte l’attacco?
Il ransomware
Wanna Cryptor, conosciuto anche con il nome di Wanna Cry (voglio piangere) si diffonde quando l’utente apre una mail che
contiene il file infetto. A quel punto il danno è fatto.
Tutti i file presenti sul computer vengono
criptati e a tutti viene aggiunta l’estensione .wcry Vengono eliminate
le copie di sicurezza del sistema operativo presenti nelle partizioni
nascoste, così da impedire il ripristino. Il pc mostra solo e unicamente il
messaggio con la richiesta di riscatto.
Di Seguito vi allego la procedura per la
rimozione sicura del virus:
Primo Metodo:
1. spegnere
il computer e farlo ripartire in “modalità provvisoria” tenendo premuto (per la
fase di accensione) il tasto “F8”; 2. cliccare
con il mouse su START (oppure AVVIO o ancora sull'icona di Windows) posto in
basso a sinistra della barra delle applicazioni; 3. all’apertura
del menu a tendina verticale fare clic su "Tutti i programmi", così
da aprire l’elenco dei software installati; 4. cercare
la cartella "Esecuzione automatica" e, una volta individuata, fare
clic con il mouse sull’icona corrispondente; 5. sullo
schermo viene visualizzata la lista dei programmi configurati per essere
avviati automaticamente all’accensione del computer senza intervento di chi è
alla tastiera; 6. dovrebbe apparire, tra gli
altri, il file "WPBT0.dll" oppure un file con nome identificativo del
tipo "0.< una serie di altri numeri >.exe" (il file si può
presentare in altre varianti sintattiche); 7. selezionare
il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel
cestino presente sul desktop del computer; 8. selezionare
con il mouse il “cestino” sul desktop e fare clic con il tasto destro
all’apertura della finestra in corrispondenza del cestino, selezionare “svuota
cestino” così da procedere alla definitiva eliminazione del malware; 9. spegnere
il computer e riavviarlo normalmente, così da poter constatare l’effettivo
ripristino del regolare funzionamento dell’apparato a disposizione; 10. provvedere
all’installazione (e al costante aggiornamento) di un programma antivirus che
possa preservare da futuri analoghi inconvenienti.
Secondo Metodo:
1) dal prompt digitare: regedit.exe
(dopo premere invio)
2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\WinlogonDoppio click su: shell
compare la finestra di modifica: %user%\Dati Applicazioni\mahmud.exe Modificare
in: EXPLORER.EXE
dove %user% è :per Windows 2000/Xp e Server 2003c:\documents and settings\<nome utente>per Windows Vista/7 e Server 2008 2008
c:\users\<nome utente>
3) Uscire da regedit
a. con Windows 2000/XP/Server 2003:i. cd "Dati Applicazioni"ii. del mahmud.exe
b. Con Windows Vista/Seven/2008:
i. cd Appdata
ii. cd roaming
iii. del mahmud.exe
5) riavviare il computer, dal prompt digitare:
shutdown -r -t 0
Il cyber-attacco ha approfittato di una vulnerabilità del sistema operativo Windows di Microsoft: sono stati presi di mira i computer che non avevano installato alcuni aggiornamenti diffusi da Microsoft il 14 marzo per tutelare proprio da attacchi ransomware o sistemi vecchi per i quali gli aggiornamenti non esistono, come il sistema Windows XP che ha 16 anni. Secondo diversi ricercatori, alcune vittime hanno pagato il riscatto in Bitcoin, ma non si può sapere a quanto ammonti la somma complessiva trasferita agli estorsori a causa della natura anonima di questo tipo di transazioni in valuta virtuale.
Considerando che i ransomware agiscono più o
meno tutti alla stessa maniera vi allego una guida che può essere presa in
considerazione per tutte le versioni di questi virus.