NoCryptolocker

WannaCry, chiamato anche WanaCypt0r, WannaCypt0r, WCry, Wannacry Decrypter e Wannacry Decrypt0r a causa della schermata che appare sulla macchina infetta è una versione recentissima e molto aggressive di ransomware.

​

A seguito della loro esecuzione, tutt i files e i documenti del computer o della rete colpita vengono criptati rendendoli di fatto illegibili.

 

Viene inoltre cambiata l’estensione dei files, ad esempio file infettato che si chiama "sample.jpg" diventa "sampe.jpg.WNCRY".

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

​

​

 

​

Lo sfondo del desktop viene cambiato in:

​

​

​

​

​

​

​

​​

​

​

​

​

​

​

​

​

​

​

​

​

 

Una volta infettato il sistema il ransomware installa una serie di programmi tra cui @WanaDecryptor@.exe, aggiungendosi al registro di Windows così che sia sempre attivo ad ogni riavvio della macchina. Infetta i dati, andando a coinvolgere anche periferiche di storage collegate come hard disk esterne e chiavette USB; va a intervenire anche sui volumi immagine del sistema operativo precedentemente creati, bloccando l'accesso alle utility di riparazione del sistema.

​

Di fatto, quindi, rende del tutto inutilizzabile il sistema richiedendo all'utilizzatore una somma di denaro per lo sblocco e riprenderne possesso.

​

Vengono crittografati i files con le seguenti estensioni:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

​

​

​​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​​

​

​​

 

Come vengono distribuiti Wanna Cry / WanaCry / Wana Decrypt0r ?

​

Nella maggior parte dei casi vengono diffusi tramite attacchi diretti sulla porta RDP/SMB, su macchine e server che utilizzano uno dei seguenti sistemi operativi:

​

Windows Server 2003 (April 2003)
Windows Server 2003 R2 (December 2005)
Windows Server 2008 (February 2008)
Windows Server 2008 R2 (July 2009)
Windows Server 2012 (August 2012)
Windows Server 2012 R2 (October 2013)
Windows Server 2016 (September 2016)

​

Spesso vengono diffusi tramite email infette, file di word compromessi, javascript e spam di immagini su facebook .

​​​​​​​​​
 

Come decriptare file cifrati da Wanna Cry / WanaCry / Wana Decrypt0r? 

Potete recuperare i miei dati?

​

Si possiamo recuperare tutti i tuoi files!! 

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​

Scrivici un'email a info@recuperafiles.it allegando dei files criptati, una foto dello schermo ed il tuo numero di telefono; ti contatteremo il prima possibile!​

​

​

​

FAQ: Domande e risposte che accomunano le infezioni da Wanna Cry, riportate comunemente dai nostri clienti:

​

​​

​

- Come è possibile che siano entrati nel mio sistema o nella mia rete?

 

Cuore di questo attacco informatico è lo sfruttamento di una falla presente nell'SMB Server del sistema operativo Windows, già evidenziata da Microsoft e aggiornata con il proprio security update rilasciato nel mese di marzo.

La diffusione di questo nuovo ransomware è quindi stata largamente facilitata dalla connessione al web di numerosi sistemi che non sono costantemente tenuti aggiornati, e che quindi non integrano i fix a problematiche di sicurezza che periodicamente si possono presentare.

 

Al momento attuale non ci sono dati specifici a riguardo ma non è difficile immaginare che molti dei sistemi infettati siano basati su sistema operativo Windows.

 

​

- La mia password RDP era molto sicura, come hanno fatto a trovarla?

​

Purtroppo anche con una password di 20 caratteri casuali, tipicamente molto sicura, non c'è nessuna protezione efficace in quanto vengono utilizzati degli exploit sulla porta RDP, permettendo di fatto un bypass della password.

​

​

- Hanno usato qualche exploit? Il mio sistema era aggiornato e protetto:

​

WannaCry è basato sui due exploit EternalBlue e DoublePulsar, provenienti da una serie di utility in possesso dell'NSA americano e che sono entrati nelle mani di hacker recentemente. Gli exploit sono da tempo attivi ma solo nel mese di marzo sono stati bloccati da sistema operativo con un aggiornamento rilasciato da Microsoft per i sistemi operativi che sono al momento attuale coperti dagli update di sicurezza.

 

​

- L'account administrator era disattivato, cosa è successo? 

​

Spesso l'account "administrator" viene disattivato per motivi di sicurezza, eppure tutto il processo di criptazione è avvenuto da quell'account, come è stato possibile?

Il tutto avviene tramite una "escalation di privilegi", ovvero ci si connette tramite un utente "normale", vengono alzati i privilegi di questo utente il quale a sua volta crea o riattiva l'account di administrator, al quale ci si connetterà in seguito per eseguire la criptazione.  

​

​

- Avevo limitato le connessioni che potevano accedere al servizio RDP, come hanno fatto a collegarsi? 

​

Nella tua rete ci sono dei client "aperti" su internet? Anche se il tuo server limita le connessioni da cui si può accedere (tramite firewall, VPN, ipfiltering, whitelisting ecc.) la connessione avviene tramite l'RDP del client connesso ad internet.

Una volta preso il controllo di questo client ci si connette tramite lo stesso al server presente nella rete interna rendendo di fatto inutile il filtraggio di tutti gli ip esterni.

​

​

- La porta del servizio RDP non era quella standard, come hanno trovato il servizio? 

​

Le porte standard per il servizio RDP sono la 445 e la 3389, eppure io avevo impostato il servizio sulla porta 5555, come lo hanno trovato? Semplicemente con un networks scanner, che analizza tutte le porte dalla 1 alla 65000​ in cerca del servizio RDP.

​

​

- Quindi cosa posso fare per proteggermi da futuri attacchi di Wanna Cry / WanaCry / Wana Decrypt0r?​

​

I due consigli che diamo ai nostri clienti per proteggersi da eventuali infezioni sono:​

- chiudere immediatamente e su tutte le macchine locali e remote il servizio RDP 

- installare il nostro script di protezione contro i ransomware, maggiori info QUI

​

​

- Dove sono finiti i miei backup? E le macchine virtuali?​

​

A seguito dell'infezione da Wanna Cry vengono cancellati i files .backup e spesso anche eventuali macchine virtuali (VMware, Oracle VM VirtualBox ecc.), le quali vengono avviate e poi cancellate o criptate.​

​

​

- Altri dubbi o necessiti di maggiori informazioni?​

 

Scrivici pure a info@recuperafiles.it e cercheremo di chiarire ogni tuo dubbio.