WannaCry: un micidiale ibrido tra ransomware e worm. Ecco come difendersi

WannaCry è un virus informatico capace di propagarsi in oltre centocinquanta paesi e trecentomila sistemi. Si tratta di un ransomware (un semplice ransomware si diffonde attraverso un link per accedere a un file infetto, o semplicemente aprendolo direttamente come allegato a una e-mail) con funzioni da worm. In pratica, un malware di quelli che crittano i dati del computer della vittima, e li sbloccano solo previo pagamento di una certa cifra, ma con in più la capacità di diffondersi su altri sistemi in perfetta autonomia, sfruttando una rete a cui sono collegati — anche offline.
WannaCry, conosciuto anche coi nomi di WannaCrypt, WCry, WanaCrypt0r o WCRY, all’inizio sfrutta un'azione simile. Un file da aprire, in genere un PDF, che avvia il funzionamento di un dropper, cioè un piccolo programma contenuto nel file stesso che ha la funzione di scaricare e installare il malware vero e proprio.  Dovete sapere, infatti, che malware così complessi hanno in genere dimensioni e caratteristiche tali da venire beccati subito dai software antivirus, mentre un piccolo dropper spesso e volentieri passa indenne i controlli. E una volta eseguito installa la minaccia informatica. Figuriamoci in quei sistemi che di antivirus non ne hanno. Il dropper di WannaCry contiene, essenzialmente, due componenti. Il primo è il ransomware vero e proprio, mentre il secondo, e qui sta la novità, è a sua volta un piccolo software che cerca in altri computer la vulnerabilità di tipo CVE-2017-0145.
La vulnerabilità non è altro che un errore di programmazione, in questo caso nei sistemi operativi Windows, che se sfruttato da criminali informatici può portare a guai seri. Nella fattispecie, l’errore riguarda il Server Message Block, vale a dire una tecnologia utilizzata per condividere file, periferiche e collegamenti tra computer diversi.
Tornando al dropper, questo, una volta attivato, sfrutta la funzione InternetOpenUrl() per tentare un collegamento a uno di due domini:
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Si tratta di due domini fino a qualche giorno fa inesistenti, digitati forse a casaccio da chi ha realizzato il malware, per inserirvi, probabilmente, una certa forma di controllo. Infatti, se la connessione con uno di questi indirizzi va a buon fine, il dropper si blocca, di fatto non infettando la macchina né propagando la minaccia. Se, al contrario, la connessione non va a buon fine, come avveniva poiché gli indirizzi erano inventati e non esistevano, l’infezione procede. È su questo principio che, qualche giorno fa, un ricercatore ventiduenne di MalwareTech è riuscito a limitare la diffusione di WannaCry: ha registrato quei domini farlocchi, facendo in modo che la connessione col dropper andasse a buon fine, bloccando la diffusione della minaccia su un gran numero di sistemi.

Se l’infezione procede, il malware crea un “servizio” di Windows con lo scopo di attivare l’exploit della vulnerabilità in altri sistemi collegati a quel computer. Il componente dedicato al ransomware, dal canto suo, sta in un piccolo file .zip, protetto da password, che contiene il cuore della minaccia: le funzioni per crittare (e quindi rendere inservibili) i file, quelle per decrittarli se si paga, il messaggio da visualizzare all’utente per chiedere il riscatto, e tutto ciò che dà vita alla minaccia informatica. A questo punto, come succede spesso coi malware, WannaCry crea due chiavi nel registro di Windows e, sempre sfruttando quest’ultimo, sostituisce il wallpaper del sistema operativo con un’immagine del messaggio iniziale del ransomware. Inoltre, copia nel sistema nutrita serie di file tra cui quelli coi messaggi tradotti in varie lingue (c’è anche l’italiano).
Dopo altre operazioniil virus passa a codificare i file del sistema, aggiungendo a questi l’estensione WNCRY. Poi elimina le “shadow copy” dei file, se presenti (era uno dei metodi per ripristinare i file codificati da vecchie generazioni di ransomware, senza pagare alcun riscatto). Quindi avvia un eseguibile che mostra il messaggio principale, ricco di dettagli e istruzioni per il pagamento, perfino tradotto nella lingua di pertinenza.

La mia connessione è lenta, come posso fare?

Internet va più lento del solito? Le pagine impiegano più tempo ad aprirsi?

Sono molte le ragioni per le quali internet è lento: il pc, la linea ADSL oppure il browser, che forse non è ben configurato.
Tenendo conto delle principali cause di questa problematica cercherò di darvi qualche consiglio pratico.
Vediamo quali sono i fattori e come influezano la velocità dei browsers (Chrome, Firefox, Internet Explorer, Opera. Safari).
La stessa situazione può verificarsi anche sullo smartphone.

 
1) Il browser è il programma che carica e mostra le pagine dei siti internet.
Chrome, Firefox, Internet Explorer, Opera e Safari sono i più diffusi ed i più usati e richiedono ogni tanto una certa manutenzione. Infatti il browser, dopo un certo utilizzo, diventa come un "cestino" dove si raccoglie qualsiasi cosa come testo, immagini, video e animazioni di cui sono composti i siti web visitati. Inoltre navigando sui social network come Facebook e Twitter il discorso si amplifica. Questa massiccia quantità di dati nel tempo può rallentare la navigazione.
Ogni tanto quindi è importante andare nel menu della cronologia e svuotare la cache ed eliminare cronologia e cookies. Inoltre è anche importante non tenere troppe schede aperte insieme, aggiornare sempre il browser all'ultima versione e limitare l'uso di estensioni attive, che occupano memoria e rallentano i caricamenti.
2) Le estensioni del browser possono influire in modo significativo sulla velocità di navigazione. E' opportuno quindi aprire la lista delle estensioni installate e rimuovere quelle che non si stanno usando. Su Google Chrome si può usare il task manager per scoprire quali estensioni sono più pesanti. Oltre a questo, è fondamentale che non ci siano plugin o estensioni adware, perchè possono modificare motore di ricerca e pagina iniziale e  mostrare annunci pubblicitari indesiderati. Per controllare la loro presenza e rimuoverli c'è uno strumento semplice da usare almeno una volta ogni mese che è C Cleaner.
3) L'antivirus è un software essenziale per ogni pc che usa WIndows.
Alcuni antivirus però sono veramente molto pensanti, se per esempio usiamo un pc non aggiornato, quindi sarebbe meglio installarne uno più leggero oppure configurarlo in modo da non disturbare la navigazione. Sono soprattutto gli antivirus che controllano la navigazione, che integrano un plugin per il browser e che funzionano pure da firewall.
Ci sono tanti buoni antivirus gratuiti, che non dovrebbe essere difficile trovarne un altro al posto di quello attuale.
4) I plugin, software aggiuntivi, possono rallentare il caricamento di internet e sono spesso inutili. Come detto, conviene rimuovere i plugin che non si usano sia per navigare più sicuri sia per rendere il browser più leggero. Flash, per esempio, è un plug-in pesante, così come lo sono anche Silverlight, il PDF Reader, Java.
Il modo migliore per affrontare questo problema, se è vero comunque che plugins come Flash ogni tanto ci servono, è quello di attivare l'opzione click-to-play per tutti i plugin.
In questo modo, tutti i contenuti delle pagine web che richiedono un plugin per caricare, rimangono fermi e richiedono, per la loro esecuzione, un click dell'utente.
Questo si può fare in Chrome e in Firefox nelle impostazioni e su Safari con un'estensione chiamata ClickToPlugin.
5) Usare un DNS (Dynamic Name Server) veloce. per accellerare la navigazione.

Per testare la velocità di connessione si può andare su un sito di "speedtest" come ad esempio Eolo.

Se la connessione continua ad essere lenta meglio contattare il proprio operatore di tefefonia e ADSL.