Ransomware copertina
In questi giorni si susseguono continuamente notizie su un nuovo attacco informatico che sta minando la sicurezza informatica a livello mondiale.

Non stiamo parlando, però, di un semplice attacco hacker, in quanto, per definizione, questo prende di mira un ben particolare soggetto; quello che si sta affrontando in questi giorni è una distribuzione massiva di un nuovo virus della famiglia dei Ransomware, di cui il Cryptolocker è stato il primo e sicuramente il rappresentante più famoso. Facciamo un po’ di chiarezza.


Cosa sono WannaCry, Petya, Criptolocker e gli altri Ransomware?

ransomware hacker

In poche parole, i Ransomware sono dei software malevoli che criptano i dati dei PC che riescono ad infettare; i dati vengono resi di fatto illeggibili, per chiedere poi il pagamento di un riscatto, in cambio della chiave di decriptazione utile a rientrare in possesso dei propri preziosi documenti.

C’è da distinguere, però, quella che è l’infezione del virus (inoculamento), dall’azione successiva all’infezione stessa (criptazione dei dati).

Fino ad ora il veicolo d’infezione da parte dei Ransomware è stata la posta elettronica: solitamente arriva una mail (ovviamente falsa) che riguarda fatture delle compagnie telefoniche, o documentazioni dell’agenzia delle entrate o di Equitalia, qualcosa insomma che gioca sull’emozione del destinatario e lo spinge ad aprire l’allegato.

L’apertura dell’allegato avvia l’infezione del PC; una volta “preso possesso” del PC, comincia la seconda fase dove il virus comincia a criptare tutti i dati del computer colpito, ed anche di tutti i percorsi (cartelle di rete, hard disk e pendrive USB, NAS, etc.) su cui l’utente ha la possibilità di scrivere dati. È molto facile capire, quindi, che la pericolosità di questi virus è che basta colpire ed infettare un solo PC di una rete (uffici, studi medici, ospedali, aziende di ogni grado) per corrompere potenzialmente i dati dell’intera rete.


Qual è il limite di questo tipo di virus ed in cosa si differenzia WannaCry?

ransomware windows update

Il fatto che l’utente deve avviare l’infezione, cercando di aprire l’allegato giunto in posta elettronica; gli utenti più svelti e maliziosi, quindi, sono sicuramente un difficile bersaglio da raggiungere. WannaCry (o WanaCrypt0r) in questo è diverso da tutti i suoi predecessori, e sicuramente più evoluto, dal momento che l’infezione non avviene solo aprendo una mail infetta. Gli autori di questi virus, infatti, hanno sfruttato una falla (utilizzata dall’NSA – l’agenzia per la sicurezza nazionale statunitense – e resa pubblica lo scorso aprile dal gruppo hacker Shadow Brokers) dei sistemi Windows, per fare in modo che il virus venga inoculato in maniera trasparente, senza dover aprire un allegato mail.
Aumentando quindi i canali di inoculazione, è sicuramente più alto il numero di possibili infezioni.


Come ci si difende da WannaCry, dagli altri RansomWare ed in generale da tutti i malware?

Le strategie di difesa sono sempre le stesse:

  1. usare la testa (sembra scontato, ma già il porre attenzione a dove si clicca può salvarci la vita);
  2. tenere i sistemi aggiornati (effettuare periodicamente i Windows Update ed aggiornare i software di terze parti);
  3. dotarsi di un buon antivirus;
  4. effettuare e mantenere aggiornati i backup, possibilmente tenendoli (offline) separati dal PC;
  5. usare account limitati (non amministratori) per le azioni quotidiane che non comportino l’installazione o la configurazione (che richiedono obbligatoriamente un account amministratore).

Nel caso specifico di WannaCry, l’infezione avviene tramite una falla che Microsoft ha provveduto a tappare (in tutti i sistemi operativi successivi a Windows XP) già da marzo 2017, attraverso l’aggiornamento di sicurezza MS17-010.


Come faccio a verificare se nel mio PC è stata installata la patch in questione?

ransomware windows update imm

Se Windows è configurato per ricevere ed installare automaticamente gli aggiornamenti, allora l’aggiornamento di sicurezza è sicuramente installato, ma per verificare in prima persona, si può controllare la voce “aggiornamenti installati” e verificare, a seconda del sistema operativo in uso, che ALMENO UNO dei seguenti aggiornamenti sia installato.

Windows Vista

KB4012598

(cliccate QUI qualora sul vostro PC non fosse presente nessuno di questi aggiornamenti)

Windows 7 e Windows Server 2008 R2

KB4019264
KB4015552
KB4015549
KB4012215
KB4012212

(cliccate QUI qualora sul vostro PC non fosse presente nessuno di questi aggiornamenti)

Windows 8.1 e Windows Server 2012 R2

KB4019215
KB4015553
KB4015550
KB4012216
KB4012213

(cliccate QUI qualora sul vostro PC non fosse presente nessuno di questi aggiornamenti)

Windows 10

Nel caso dell’ultimo S.O. Microsoft, dovete effettuare un controllo differente: aprite la scheda “Sistema” e controllate che la voce “build SO” sia uguale o maggiore alla 14393.953; se così non fosse, avviate gli aggiornamenti di sistema.

Windows XP, Windows Server 2003 e Windows 8 

Nonostante siano sistemi operativi non più supportati, Microsoft – considerata la gravità del problema – ha rilasciato un aggiornamento specifico scaricabile a QUESTO INDIRIZZO.


Cosa faccio se sono stato vittima di un Ransomware?

Ransomware Screen-Shot immagine

La prima cosa da fare è sicuramente ripulire il PC dal virus, usando un antivirus o antimalware; la rimozione del virus dal PC però ci garantisce solo ed esclusivamente che non ci sarà ulteriore criptazione dei dati, ma non ci restituirà i dati che sono stati già criptati. Nella stragrande maggioranza dei casi, l’unico rimedio per riavere i propri dati è effettuare un restore da un backup eseguito precedentemente.


Alla luce dei fatti illustrati sopra è facile intuire come la battaglia contro i Ransomware possa essere vinta solo attraverso la PREVENZIONE, perché nel 99% dei casi, quando il danno è fatto, rimane poco da fare.

Maria Gabriella Depalo

Ti è piaciuto? Condividilo!

Written by

Maria Gabriella Depalo

Mi chiamo Maria Gabriella Depalo, sono nata in piccolo paesino del nord barese affacciato sul mare e sono laureata in Informatica.
Sono la "scienziata" del gruppo e mi dedicherò principalmente ad argomenti di tipo scientifico/tecnologico.
Spero vivamente di riuscire a coinvolgervi tutti nelle mie passioni.
Potete contattarmi scrivendo a: mg.depalo@inchiostrovirtuale.it