martedì 16 maggio 2017

WannaCry: un micidiale ibrido tra ransomware e worm. Ecco come difendersi



WannaCry è un virus informatico capace di propagarsi in oltre centocinquanta paesi e trecentomila sistemi. Si tratta di un ransomware (un semplice ransomware si diffonde attraverso un link per accedere a un file infetto, o semplicemente aprendolo direttamente come allegato a una e-mail) con funzioni da worm. In pratica, un malware di quelli che crittano i dati del computer della vittima, e li sbloccano solo previo pagamento di una certa cifra, ma con in più la capacità di diffondersi su altri sistemi in perfetta autonomia, sfruttando una rete a cui sono collegati — anche offline.
WannaCry, conosciuto anche coi nomi di WannaCrypt, WCry, WanaCrypt0r o WCRY, all’inizio sfrutta un'azione simile. Un file da aprire, in genere un PDF, che avvia il funzionamento di un dropper, cioè un piccolo programma contenuto nel file stesso che ha la funzione di scaricare e installare il malware vero e proprio.  Dovete sapere, infatti, che malware così complessi hanno in genere dimensioni e caratteristiche tali da venire beccati subito dai software antivirus, mentre un piccolo dropper spesso e volentieri passa indenne i controlli. E una volta eseguito installa la minaccia informatica. Figuriamoci in quei sistemi che di antivirus non ne hanno. Il dropper di WannaCry contiene, essenzialmente, due componenti. Il primo è il ransomware vero e proprio, mentre il secondo, e qui sta la novità, è a sua volta un piccolo software che cerca in altri computer la vulnerabilità di tipo CVE-2017-0145.
La vulnerabilità non è altro che un errore di programmazione, in questo caso nei sistemi operativi Windows, che se sfruttato da criminali informatici può portare a guai seri. Nella fattispecie, l’errore riguarda il Server Message Block, vale a dire una tecnologia utilizzata per condividere file, periferiche e collegamenti tra computer diversi.
Tornando al dropper, questo, una volta attivato, sfrutta la funzione InternetOpenUrl() per tentare un collegamento a uno di due domini:
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Si tratta di due domini fino a qualche giorno fa inesistenti, digitati forse a casaccio da chi ha realizzato il malware, per inserirvi, probabilmente, una certa forma di controllo. Infatti, se la connessione con uno di questi indirizzi va a buon fine, il dropper si blocca, di fatto non infettando la macchina né propagando la minaccia. Se, al contrario, la connessione non va a buon fine, come avveniva poiché gli indirizzi erano inventati e non esistevano, l’infezione procede. È su questo principio che, qualche giorno fa, un ricercatore ventiduenne di MalwareTech è riuscito a limitare la diffusione di WannaCry: ha registrato quei domini farlocchi, facendo in modo che la connessione col dropper andasse a buon fine, bloccando la diffusione della minaccia su un gran numero di sistemi.
Se l’infezione procede, il malware crea un “servizio” di Windows con lo scopo di attivare l’exploit della vulnerabilità in altri sistemi collegati a quel computer. Il componente dedicato al ransomware, dal canto suo, sta in un piccolo file .zip, protetto da password, che contiene il cuore della minaccia: le funzioni per crittare (e quindi rendere inservibili) i file, quelle per decrittarli se si paga, il messaggio da visualizzare all’utente per chiedere il riscatto, e tutto ciò che dà vita alla minaccia informatica. A questo punto, come succede spesso coi malware, WannaCry crea due chiavi nel registro di Windows e, sempre sfruttando quest’ultimo, sostituisce il wallpaper del sistema operativo con un’immagine del messaggio iniziale del ransomware. Inoltre, copia nel sistema nutrita serie di file tra cui quelli coi messaggi tradotti in varie lingue (c’è anche l’italiano).
Dopo altre operazioniil virus passa a codificare i file del sistema, aggiungendo a questi l’estensione WNCRY. Poi elimina le “shadow copy” dei file, se presenti (era uno dei metodi per ripristinare i file codificati da vecchie generazioni di ransomware, senza pagare alcun riscatto). Quindi avvia un eseguibile che mostra il messaggio principale, ricco di dettagli e istruzioni per il pagamento, perfino tradotto nella lingua di pertinenza.