Che cos'è il Ransomware (WannaCry tra gli altri) e come proteggersi

Che cos'è il Ransomware (WannaCry tra gli altri) e come proteggersi | Sicurezza 2024
Che cos'è il Ransomware (WannaCry tra gli altri) e come proteggersi | Sicurezza 2024

In un mondo in cui ci troviamo sempre più online (ogni giorno con più forza) in cui molti di noi si sentono molto a proprio agio con il modo in cui possiamo svolgere le nostre attività quotidiane in modo digitale. Dobbiamo capire che tutto questo sta cambiando la vita di tutti noi perché dipendiamo completamente da questo mondo digitale a tutti i livelli come il business, i sistemi pubblici di base necessari per qualsiasi paese e anche il personale da casa.

Nel bene e nel male, dobbiamo essere consapevoli dei pericoli che ci minacciano, poiché ad esempio al giorno d'oggi non è necessario andare in un ufficio bancario per fare movimenti, ma tutto viene fatto attraverso la piattaforma dell'ente, Non usiamo più la corrispondenza servizi poiché utilizziamo social network, messaggi di chat ed e-mail, essendo connessi 24 ore su 24 tramite telefoni cellulari e computer.

Tutto è interconnesso a un clic di essere aggiornato, in modo che le persone sappiano cosa, come o dove siamo, tra le altre funzioni e compiti. Quello che non ci chiediamo è, Quanto siamo sicuri in questo mondo online?, la risposta è semplice, molto poco certa.

La ragione di ciò è che man mano che le opzioni per fare tutto online crescono, comprese le nostre attività quotidiane, aumentano anche gli intrusi, gli attacchi, i virus informatici, ecc. Tutti vengono ricevuti in modi diversi e su più piattaforme, dove anche se non abbiamo milioni di euro o dollari nei nostri conti bancari o siamo riconosciuti in tutto il mondo, siamo soggetti ad essere attaccati in modi diversi.

Ecco perché oggi a Solvetic ci concentriamo sulla spiegazione di una delle minacce che è sulla bocca di tutti a causa dei suoi attacchi in tutto il mondo, che sebbene non sia una novità come molti pensano, sta prendendo un boom a passi da gigante e a cui dobbiamo essere attento a tutte le cure necessarie.

Questa minaccia si chiama ransomware e speriamo che il momento di leggere questo articolo da parte tua non sia perché ci sei già caduto, soprattutto per poterti tutelare un po' di più, che tu sia un'azienda o una persona normale che vuole evitare tanto quanto possibile questo e altri simili tipi di minacce.

Il nostro obiettivo è che ogni utente o azienda prenda le misure necessarie per evitare di essere vittima di questo attacco e sia sempre responsabile di tutto ciò che facciamo sulla rete.

Che cos'è il ransomwareCosì come avviene il sequestro di persone per fini economici, nel mondo informatico la ransomware è diventato un attacco dirottatore di dati Poiché questo attacco fondamentalmente accede al nostro computer, crittografa tutte le informazioni e richiede una certa somma di denaro per il suo ripristino, è così semplice.

L'origine del nome "Ransomware" deriva dalla combinazione di due parole:

  • Riscatto (rapimento)
  • ware (software)

Questo attacco, noto anche come rogueware o scareware, colpisce gli utenti dal 2005. Sebbene si sia evoluto, ne appaiono di diversi tipi, perfezionandosi e trovando punti deboli dove può diffondersi facilmente. Vi lasciamo un video che ve lo spiega in modo eccezionale per capirlo a tutti i livelli.

Come funziona il ransomwareIl ransomware si avvale di una serie di passaggi in cui purtroppo il primo viene fornito dalla vittima durante l'esecuzione, questi passaggi sono:

  • Scansione del sistema tramite unità USB, e-mail truffa, ecc.
  • Installazione sul sistema quando il file infetto è in esecuzione.
  • Selezione dei file da crittografare.
  • Crittografia dei dati selezionati che attualmente utilizzano RSA a 2048 bit.
  • Messaggi alla vittima utilizzando varie alternative dalle e-mail ai messaggi vocali
  • In attesa di pagamento utilizzando mezzi come bitcoin, MoneyPak, Ukash e cashU, tra gli altri.
  • Invio delle chiavi di crittografia alla vittima, ma questo non è sicuro al 100%. (Possiamo dire che NON te lo invieranno, sconsigliamo di pagare).

Come possiamo vedere, è una catena che noi stessi possiamo spezzare dall'inizio. Nel mondo di Internet e del digitale, alle persone dovrebbe essere insegnato che è molto meglio pensare sempre male e avrai ragione. Diffidare e non essere uno di quelli che aprono felicemente qualsiasi allegato ricevuto, o accedono a qualsiasi sito Web e installano qualsiasi programma senza esitazione.

1. Tipi di attacchi ransomware


Ci sono alcuni tipi di questo attacco conosciuti in tutto il mondo come:

WannaCry ransomwareQuesto è il Ultimamente ransomware più conosciuto perché ha effettuato attacchi a molti team di aziende e persone in tutto il mondo. Si tratta di un Cryptographic Ransomware ma vale la pena catalogarlo a margine, dal momento che è uscito come sapete nelle notizie di tutto il mondo, a causa di attacchi effettuati in molti paesi diversi. È importante commentare che non è una novità come molti pensano, dal momento che si cucina in molte squadre da molto tempo. Potete vedere nell'immagine seguente dove vengono eseguiti.

Ci sono molti virus e attacchi pericolosi su Internet, ma WannaCry ransomware è uno dei peggiori.

Fondamentalmente, possiamo dire che lo consideriamo uno dei peggiori perché esegue una crittografia pulita di più file molto importanti con un potente algoritmo e chiave, il che rende molto difficile averli di nuovo. È anche importante sottolineare la facilità di esecuzione che deve trasmetterlo ed eseguirlo su tutte le unità di rete.

Voglio piangere Decryptor penetra nel tuo computer, soprattutto via e-mail, e quando lo esegui senza rendertene conto, crittografa le informazioni. La cosa seria è che una volta crittografati tutti i file sul computer, vengono replicati in rete su altri server, computer, ecc. Anche tutto ciò che hai connesso alle unità di rete può essere crittografato. Quindi è normale che una volta infettato un computer, si diffonda praticamente a tutti i membri della rete.

Per la sua replica sfrutta le lacune nei sistemi, soprattutto in Windows. Quindi si consiglia di tenerle sempre aggiornate con tutte le patch, per evitare che sia così facile replicarle da una parte all'altra.

Questo comportamento spiega perché si consiglia di disconnettere i computer in modo che non continuino a crittografare e propagarsi. Per questo motivo, in caso di infezione interna, la prima cosa che generalmente le aziende chiedono è di spegnere e disconnettere tutti i computer, il tutto in modo che non continuino a crittografare i file e aumentino il problema. Dovranno trovare l'origine e ripristinare tutti i computer e i server interessati.

La crittografia dei tuoi file è una tecnica molto richiesta per proteggere la privacy dei tuoi file più riservati. Questo attacco utilizza algoritmi di crittografia molto potenti, che non possono essere violati se non si dispone della chiave. Ora più avanti andiamo più in profondità in questo tipo di ransomware.

Cripto ransomwareQuesto tipo di attacco si avvale di algoritmi di livello avanzato e la sua funzione principale è quella di bloccare i file di sistema dove per accedervi dobbiamo pagare una somma, a volte elevata, di denaro.

All'interno di questa tipologia troviamo CryptoLocker, Locky, TorrentLocker, anche WannaCry ecc.

MBR ransomwareSappiamo che l'MBR (Master Boot Record) gestisce l'avvio del sistema operativo e questo tipo di attacco è responsabile della modifica dei valori dei settori di avvio per impedire all'utente di avviare normalmente il proprio sistema operativo.

WinlockerQuesto attacco si basa su SMS, messaggi di testo, mediante i quali richiede l'invio di un messaggio di testo a un sito di pagamento con un codice assegnato per sbloccare i file.

puzzleQuesto attacco è responsabile dell'eliminazione periodica dei file in modo che la vittima senta la pressione di pagare il riscatto per non perdere informazioni più preziose.

Con questo attacco ogni ora viene eliminato un file dal computer fino all'avvenuto pagamento e, come ulteriore ma non incoraggiante dettaglio, jigsaw rimuove fino a mille file dal sistema ogni volta che il computer si riavvia e accede al sistema operativo.

KimcilwareCon questo attacco siamo vittime della crittografia dei dati sui nostri server web e per questo sfrutta le vulnerabilità del server e quindi crittografa i database e i file ospitati lì, stabilendo l'inattività del sito web.

MaktubQuesto è un attacco che si diffonde tramite e-mail fraudolente e comprime i file interessati prima di crittografarli.

Il suo aspetto è quello di un PDF o di un file di testo, ma quando viene eseguito, in background senza che ce ne rendiamo conto viene installato sul computer e solitamente sono richieste grosse somme di denaro per il recupero dei dati.

SimpleLocker, Linux.Encoder.1 e KeRangerQuesti attacchi svolgono sostanzialmente il loro ruolo su dispositivi mobili e PC al fine di bloccarne il contenuto. SimpleLocker agisce sulla scheda SD dei dispositivi Android crittografando i file. Linux.Encoder.1 e KeRanger gestiscono la crittografia dei dati su sistemi operativi Linux e Mac OS.

CerberPuò essere uno degli utenti più timorosi, in particolare i sistemi Windows, poiché questo attacco accede all'audio del sistema operativo per emettere messaggi e non propriamente motivazionali o alle ultime notizie di Microsoft.

Questo attacco genera un file VBS chiamato "# DECRYPT MY FILES # .vbs" che è in 12 lingue diverse ed emette messaggi minacciosi e richiede il pagamento per il recupero dei dati.

Come puoi vedere, troviamo vari tipi di attacchi ransomware (Tieni presente che ci sono e saranno molti più tipi) che lo rendono una minaccia latente e se ancora non ci crediamo, diamo un'occhiata a questi dati, continuerà a crescere molto rapidamente:

  • Ci sono circa 500.000 vittime dell'attacco Cryptolocker nel mondo.
  • Un'organizzazione in Sud America ha pagato circa 2.500 dollari per recuperare i propri dati.
  • L'1,44% degli utenti vittime di TorrentLocker ha pagato il riscatto.
  • Gli attacchi si stanno verificando in tutto il mondo con il tipo WannaCry in cui si dice che l'importo raccolto finora sia compreso tra circa 7.500-25.000 USD. (Non pagare).

Come abbiamo detto all'inizio, non consigliamo di pagare questo riscatto per la chiave di crittografia utilizzata. Non è verificato al 100% che te lo daranno e così facendo tieni presente che incoraggerai più criminali informatici a comparire quando vedrai che c'è un succulento "business" per loro. Tieni inoltre presente che potrebbero esserci alcune soluzioni più pratiche che spiegheremo nelle sezioni seguenti.

Abbiamo parlato del progresso della tecnologia, ma anche il ransomware si è evoluto, visto che oggi c'è l'attacco PHP Ransomware o WannaCry Ransomware, che crittografano tutti i dati importanti e in alcuni casi senza chiedere riscatto o pagamento per i dati crittografati, tra cui file con le seguenti estensioni:

zip, rar, r00, r01, r02, r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso tra gli altri che dettagliamo nelle sezioni seguenti.

Tieni presente che aumenteranno o varieranno, e quindi non è bene pensare che un certo tipo di file sia libero di essere "dirottato".

2. Obiettivo del ransomware


Sebbene molti attacchi ransomware si verifichino a livello organizzativo dove le informazioni sono molto più sensibili e riservate, gli aggressori che creano questi virus non pongono limiti, anche gli utenti domestici sono un punto debole per motivi quali:
  • Scarsa o nessuna conoscenza della sicurezza informatica.
  • Non avere applicazioni antivirus sui propri sistemi operativi.
  • Avere reti aperte e insicure.
  • Non creare backup costanti delle informazioni.
  • Non aggiornare regolarmente il sistema operativo e le applicazioni di sicurezza.
  • Per l'uso improprio dei servizi Internet.

Potremmo non avere informazioni preziose, ma se lo siamo vittime della crittografia delle nostre informazioni Senza dubbio, saremo vittime laddove ci influenzerà essere in grado di continuare le nostre operazioni quotidiane in modo normale, ad esempio a livello educativo, personale o aziendale.

Non sono stati dimenticati nemmeno i creatori di ransomware, anzi, sono l'obiettivo numero 1, poiché con loro ottengono i seguenti vantaggi:

  • Sono dove possono fare il maggior danno, con un succoso potenziale economico per pagare il riscatto.
  • Maggiore instabilità durante la crittografia di libri paga sensibili, finanza, risorse umane, ecc.
  • Possibilità di interessare un maggior numero di attrezzature e servizi.
  • Vulnerabilità presentate nei server o nei computer client.
  • Per destabilizzare punti importanti di paesi, e se non ci credi, guarda le ultime notizie in cui sono stati colpiti gli ospedali di Londra, aziende come Telefónica in Spagna ecc.

Possiamo certificare che questo è il nuovo formato di guerra mondialeNon è sparare bombe, ma può essere lo stesso o più doloroso di quanto immaginiamo.

Tecniche per diffondere ransomwareCome abbiamo visto in precedenza, esistono vari tipi di attacchi ransomware e alcune delle tecniche utilizzate per diffonderli sono:

  • Invio di email fraudolente.
  • Indirizzamento Web a siti falsi.
  • Messaggi di testo.
  • Vulnerabilità rilevate a livello di sicurezza su server o computer client.
  • Campagne pubblicitarie dannose.
  • Siti web legali che hanno codice dannoso nel loro contenuto.
  • Propagazione automatica tra i dispositivi.

3. Raccomandazioni per proteggersi dai malware ransomware


Dato che il ransomware sta prendendo così tanta forza ed è molto facile essere vittime, ci sono una serie di opzioni che ci aiuteranno a stare attenti a questo tipo di attacco ed evitare di essere un'altra vittima. Alcuni suggerimenti sono:

Fai una copia di sicurezzaPossiamo dirvi che è la cosa più importante da fare sia nelle organizzazioni che a livello personale. Avere un backup, ci salva dai problemi non solo da malware, virus e attacchi, ci protegge anche da errori hardware fisici che possono verificarsi su dischi, computer, server, ecc. Quindi il backup è necessario e vitale.

È una soluzione da implementare costantemente e se possibile su dischi e unità esterne, oppure hai la possibilità (a livello personale) di farlo in luoghi come il cloud, Dropbox, OneDrive, ecc., ma quello che consigliamo la maggior parte sono anche server o unità esterne avremo sempre la disponibilità e l'integrità dei file.

È importante dirti che va tenuto presente che questo malware (worm) Ransomware attacca e crittografa perfettamente anche le unità che hai connesso in quel momento, comprese quelle nel cloud, quindi ricordati di disconnettere quella connessione e non tienilo sempre connesso se non lo stai usando.

Abbiamo visto come questo attacco di WannaCry ransomware (e altre versioni precedenti) eseguiranno una crittografia delle connessioni nel cloud dei computer infetti. Sono stati replicati negli account Dropbox, Google Drive o OneDrive, perché essendo collegati come un'unità di rete potrebbero vedere perfettamente anche questi file e quindi essere crittografati ed eliminati. La parte buona è che all'interno di questi sistemi hai anche la possibilità di recuperare i dati, poiché una volta che i tuoi dati sono stati crittografati nel cloud hanno cancellato anche i file originali, quindi se sei stato infettato nel cloud, non preoccuparti, è è possibile recuperarli seguendo questo tutorial.

Ti lasciamo qui i modi migliori per fare backup, copie di backup nei diversi sistemi che possiamo avere. Le tue informazioni vengono prima di tutto, immagina cosa accadrebbe in caso di smarrimento, se è importante, non esitare e fai frequenti backup.

Ti lasciamo più alternative gratuite per i programmi di backup su Windows, Linux o Mac.

Visualizza le estensioni dei fileQuesto è un aspetto fondamentale poiché i file infetti sono eseguibili, .exe, e si mimetizzano come file PDF, DOC, XLS, ecc., in modo che attivando l'opzione per vedere le estensioni sapremo se un file è Solvetic.pdf o Solvetic.pdf.exe (infetto).

Non aprire email sospette o sconosciutePurtroppo ci lasciamo trasportare dalle apparenze e apriamo false email dalla nostra banca, social network, fatture con allegati PDF o Excel con macro, ecc. e dietro arriva il file infetto.

Molte volte riceviamo messaggi da enti ufficiali che indicano che abbiamo problemi legali, o dalla banca che richiede l'inserimento delle informazioni, altri che indicano che abbiamo messaggi vocali, ecc., ma tutti hanno un allegato che si aspettano che clicchiamo acceso, in background, infettare il computer.

Ripetiamo, molto attenti negli allegati che apriamo, per impostazione predefinita dovresti sempre essere sospettoso. Nel minimo dubbio, ti consigliamo di non aprirlo o controllarlo prima di farlo:

  • Vedi bene l'indirizzo email di spedizione del mittente per intero (non solo il nome falso che hanno messo).
  • Visualizza il tipo e l'estensione dell'allegato. Anche se il mittente è noto, potrebbe essere stato infettato e inoltra automaticamente il malware o il virus con il suo account a tutto il suo elenco di contatti. (tu una possibile vittima).
  • Vedere bene il testo e l'oggetto del messaggio prima dell'apertura.
  • Controlla l'indirizzo IP del mittente e controlla il paese di origine di quell'indirizzo, inserendo l'indirizzo IP da un web che geolocalizza in modo rapido e comodo.

Se diffidi minimamente, non aprirlo, meglio non essere prudenti e cancellarlo piuttosto che infettarsi. Presta attenzione agli avvisi di spam che il tuo gestore di posta elettronica potrebbe darti.

INGRANDIRE

Filtra le estensioni .exe nella posta elettronicaIn caso di server di posta che consentono di filtrare i tipi di file, è l'ideale che Filtra tutte le email che contengono l'estensione .exe poiché questi possono essere file infetti per rubare le nostre informazioni personali.

Disabilita i file eseguiti dal percorso AppData o LocalAppDataSe utilizziamo sistemi operativi Windows possiamo creare regole nel firewall e aprire o chiudere porte che impediscono l'esecuzione di programmi dal percorso AppData o LocalAppData poiché da lì è uno dei siti in cui Cryptolocker, tra gli altri tipi di Ransomware, installa il tuo infezioni. Se sei un amministratore di sistema Windows Server, puoi applicare gli oggetti Criteri di gruppo sui firewall di tutte le macchine della rete.

Aggiornamento costante del sistemaGli sviluppatori di sistemi operativi e di antivirus, antimalware e programmi di sicurezza in genere rilasciano periodicamente nuovi aggiornamenti che includono miglioramenti nelle falle di sicurezza e questo può aiutarci a evitare di essere vittime di ransomware.

Ricorda che è necessario e importante aggiornare il sistema operativo e anche le applicazioni di sicurezza.

Se sei un amministratore di sistema e gestisci aziende con server Windows Server tra gli altri. Ricorda che puoi controllare gli aggiornamenti di tutti i computer della tua azienda tramite il server con WSUS e costringerli a decidere impostando orari che ti interessano per essere sempre aggiornato.

Utilizzare i programmi di blocco dei componenti aggiuntiviMolti siti Web dannosi creano finestre pop-up che richiedono di fare clic su di essi per poterli chiudere e in questo processo potremmo trovarci prima del download e dell'installazione di una minaccia ransomware latente. Sono già integrati nella maggior parte dei browser ed è possibile attivarli nelle opzioni di sicurezza.

L'uso di questi programmi impedisce la visualizzazione di queste finestre e quindi acquisiamo un livello di sicurezza nei nostri sistemi.

Disabilita RDPRDP (Remote Desktop Protocol) consente la connettività remota ad altri computer per fornire assistenza o supporto, ma Ransomware può utilizzare questo protocollo, in particolare Cryptolocker, WannaCry ecc. per accedere ai computer e infettarli, da qui l'importanza di impedire che questo protocollo venga abilitato se non viene utilizzato.

Questo tutorial mostra come abilitare RDP (Remote Desktop) in Windows 10, 8, 7. Basta seguire i passaggi che spiegano lì, ma nella parte del controllo o deselezionamento, lascialo disabilitato.

Disconnettersi dalla reteIn caso di esecuzione di un file sospetto, non dovremmo aspettare fino al termine del processo di installazione poiché non sappiamo quale scopo avrà, in questo caso la cosa più prudente e responsabile è disconnettersi immediatamente dalla rete, Wi-Fi o Ethernet, con il Questo serve per impedire la comunicazione con il server che può introdurre il virus.

Possiamo disabilitare direttamente il WiFi o rimuovere il cavo RJ45 che abbiamo collegato all'apparecchiatura.

Disabilita l'esecuzione delle macro in OfficeQuesto è uno dei modi più comuni per infettare ed eseguire il ransomware. Se non sei un livello avanzato in cui utilizzi le macro in Microsoft Excel, Word, PowerPoint o Outlook (nei team aziendali è meglio disabilitarle per impostazione predefinita), ti consigliamo di disabilitarle.

Queste macro vengono inserite in un semplice file .docx o .xlsx o e-mail dove semplicemente aprendolo potresti eseguire questo tipo di ransomware o un altro tipo di malware o virus.

Segui questi passaggi per disabilitarli:

  • Disabilita le macro di Outlook
  • Disabilita le macro Word, Excel e PowerPoint

Qui vi lasciamo ulteriori informazioni ufficiali di Microsoft su questo problema e sulla gestione delle impostazioni di sicurezza di Office.

Blocco delle porteSappiamo che le porte in un sistema operativo consentono o meno la comunicazione tra il computer locale e la rete esterna.

È buona norma, se gestiamo soprattutto server, bloccare le porte:

  • UDP 137, 138
  • TCP 139, 445 o disabilitare SMBv1.

Nel seguente link Microsoft troviamo come eseguire questo processo in sicurezza:

Usa ShadowExplorerL'obiettivo di Wanna Decryptor 2.0 è rimuovere tutti gli snapshot di sistema non appena viene eseguito un file .exe dopo l'infezione.

ShadowExplorer ci consente di nascondere queste istantanee dell'attacco Wanna Decryptor e quindi avere un backup affidabile in caso di attacco.

Questo strumento può essere scaricato al seguente link:

4. Strumenti per proteggere o recuperare file crittografati da ransomware

Microsoft ha rilasciato una dichiarazione su Riscatto: Win32.WannaCrypt dove commenta che tutti gli utenti che utilizzano software antivirus gratuito di Windows o hanno il sistema Windows Update attivo e aggiornato all'ultima versione, sono protetti.

Raccomandano a coloro che dispongono di software anti-malware di qualsiasi altro provider di contattarli per confermare lo stato della loro protezione.

Una cosa buona è che Microsoft ha anche messo un aggiornamento di sicurezza prima WannaCrypt ransomware disponibile per tutti coloro che hanno versioni di Windows non supportate, come Windows XP, Windows 8 e Windows Server 2003. Scarica e installa ora per proteggerti!

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8x64
Windows 8x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP SP3 integrato x86

Se vuoi vedere per altri sistemi come Windows Vista o Windows Server 2008, controlla questo collegamento del motore di ricerca degli aggiornamenti di sicurezza di Microsoft Windows. Vedrai che si fa riferimento a questa patch (KB4012598).

Ecco una guida Microsoft ufficiale all'attacco ransomware WannaCrypt.

Oltre a tutto questo, gli sviluppatori di applicazioni di sicurezza ci offrono la possibilità di scaricare gratuitamente molteplici strumenti che saranno vitali per rilevare o decifrare i file crittografati, ovviamente non validi per tutti i tipi di Ransomware, ma continueranno a crescere da quelli che proteggono in Anche la sicurezza IT avanza e offre soluzioni. Ricorda che il modo più efficace è ripristinare i file che ci hanno crittografato dal backup che abbiamo effettuato, ma ti lasciamo alcuni strumenti pubblicati per poterlo decrittografare:

  • Soluzione Alcatraz ransomware: download
  • Soluzione ransomware Apocalypse: download
  • Soluzione ransomware BadBlock: download
  • Soluzione ransomware Crypt888: download
  • Soluzione ransomware Legion: download
  • Download della soluzione ransomware Cryptolocker

Qui puoi vedere alcune opzioni di soluzione per decrittografare più tipi di ransomware per recuperare le tue informazioni.

  • Strumenti per ransomware Karspersky
  • Strumenti Avast ransomware
  • Wanakiwi (strumento che aiuta a decifrare WannaCry, ricorda di non riavviare una volta che sei stato infettato e avvia questo strumento. Sarai in grado di recuperare le informazioni in Windows XP, Windows 7 e Windows Server 2003, 2008).

Come protezione dobbiamo tener conto che anti-malware sono una base che tutti i computer dovrebbero avere a parte un buon antivirus. Come raccomandazione di strumenti anti-malware consigliamo:

  • Kaspersky WindowsUnlocker: Scarica
  • Malwarebytes 3.0: Scarica
  • OSHI Defender: Scarica
  • Hitman Pro: Scarica
  • BitDefender Anti-Crypto. Scarica
  • Trendmicro Ransomware Screen Unlocker: Scarica
  • Microsoft Enhanced mitigation and experience toolkit (EMET): Download

Ti lasciamo anche anti-malware per Linux e Mac:

  • LMD / Clamav (Linux)
  • Il miglior antimalware (Mac)

Come strumento extra focalizzato su protezione contro WannaCry Ransomware, noi raccomandiamo NoMoreCry Tool dallo strumento di CCN-CERT perché permette impedire l'esecuzione di WannaCry Ransomware.

Dobbiamo ringraziarli per questo grande contributo del CCN-CERT (CNI).

Questo strumento funziona su tutte le versioni di Windows ed è disponibile per essere utilizzato da tutte le aziende. Quello che fa è creare un mutex (algoritmo di mutua esclusione) sul computer in cui lo installi e impedisce l'esecuzione del codice dannoso WannaCry 2.0.

CCN-CERT NoMoreCry Tool si trova nel cloud CCN-CERT, LORETO. Troverai uno Script complementare che impedisce l'esecuzione di malware sui computer Windows (tutte le versioni, sia inglese che spagnola).

Scarichiamo semplicemente il file NoMoreCry_mutexNoMoreCry-v0.4.exe (le versioni verranno aggiornate). Ed entrambi i file devono trovarsi nella stessa cartella.

Durante l'esecuzione apparirà il seguente messaggio:

Ricorda che ogni volta che accedi devi eseguirlo nuovamente. CCN-CERT indica che lo strumento deve essere eseguito dopo ogni riavvio. Quindi consigliamo di includerlo all'avvio di Windows (se è per qualcuno con un personal computer). Sarebbe semplicemente aggiungere questo strumento con il suo collegamento eseguibile nella cartella dei programmi di avvio:

  • + R
  • scrive: shell: avvio e premi Invio.
  • Incolla qui la scorciatoia per questo strumento.

Lo hai anche in .MSI per inserirlo in GPO. (Quello per gli amministratori di sistema). Questo processo può essere automatizzato anche modificando il registro di Windows o implementando criteri GPO nel dominio.

Come raccomandazione finale di strumenti di protezione. Ovviamente non dimentichiamoci di avere un antivirus installato nei diversi sistemi operativi che abbiamo, in questi link mettiamo il meglio di quest'anno e soprattutto gratis, se non ti proteggi è perché non vuoi.

  • Antivirus gratuito per Windows
  • Antivirus Linux gratuito
  • Antivirus gratuito per Mac

Gli strumenti di sicurezza hanno l'obiettivo di proteggere le nostre informazioni dai ransomware ma fondamentalmente il primo passo di protezione è in noi perché nuovi virus, trojan, malware, attacchi ecc. continueranno sempre a comparire.

Ricorda e menzioniamo ancora, che nella maggior parte di questi ransomware dopo aver crittografato i tuoi file, cancella anche l'originale, quindi nel caso in cui qualsiasi tecnica non funzioni e tu sia stato poco responsabile dove non hai copie di backup dei tuoi dati, è possibile provare a recuperare i file cancellati dal tuo computer (una volta che il ransomware è stato eliminato come spiegato di seguito capitolo sotto).

Per questo ti consigliamo di avere a portata di mano questo altro tutorial con una raccolta di programmi gratuiti per recuperare file cancellati.

5. Come rimuovere e proteggere l'attacco ransomware WannaCry

WannaCry è uno degli ultimi ransomware che si sta diffondendo nel mondo e colpisce sia le organizzazioni che gli utenti ordinari crittografando i loro dati e richiedendo ingenti somme di denaro. Abbiamo parlato molto in questo tutorial di questo tipo di ransomware, ma in questa sezione ci concentriamo su come eliminarlo una volta che ne siamo stati infettati.

Se sei uno di quelli che appare improvvisamente la finestra con il messaggio sopra, sei infetto:

Messaggio WannaCry ransomware (inglese)
Spiacenti, i tuoi file sono stati crittografati!

Cosa è successo a Risorse del computer?

I tuoi file importanti sono crittografati.

Molti dei tuoi documenti, foto, video, database e altri file non sono più accessibili perché sono stati crittografati. Forse sei impegnato a cercare un modo per recuperare i tuoi file, ma non perdere tempo. Nessuno può recuperare i tuoi file senza il servizio di decrittazione.

Posso recuperare i miei file?

Sicuro. Ti garantiamo che puoi recuperare tutti i tuoi file in modo facile e sicuro. (Ma non hai abbastanza tempo). Puoi provare a decifrare alcuni dei tuoi file gratuitamente. Prova ora cliccando. Se vuoi decifrare tutti i tuoi file, devi pagare.

Hai solo 3 giorni per inviare il pagamento. Dopodiché il prezzo sarà raddoppiato. Inoltre, se non paghi entro 7 giorni, non potrai recuperare i tuoi file per sempre.

Messaggio WannaCry ransomware (spagnolo)
Spiacenti, i tuoi file sono stati crittografati!

Cosa è successo al mio PC?

I tuoi file importanti sono crittografati.

Molti dei tuoi documenti, foto, video, database e altri file non sono più accessibili perché sono stati crittografati. Forse sei impegnato a cercare un modo per recuperare i tuoi file, ma non perdere tempo. Nessuno può recuperare i tuoi file senza il servizio di decrittazione.

Posso riavere i miei file?

Ovviamente. Ti garantiamo che puoi recuperare tutti i tuoi file in modo facile e sicuro. (Ma non hai abbastanza tempo). Puoi provare a decifrare alcuni dei tuoi file gratuitamente. Prova ora cliccando. Se vuoi decifrare tutti i tuoi file, dovrai pagare.

Hai solo 3 giorni per inviare il pagamento. Dopodiché il prezzo raddoppierà. Inoltre, se non paghi entro 7 giorni, non potrai recuperare i tuoi file per sempre.

Se vedi che la tua azienda o i tuoi computer hanno questo ransomware, ciò che dovrai fare è fermare tutti i computer in modo che non venga replicato, né continui a crittografare più file. Scollegare i computer dalla rete e toccare rivederli per rilevare l'origine.

Per eliminare questo malware in un ambiente Windows 10, eseguiremo il seguente processo.

AttenzioneSe non sei a un livello avanzato, è meglio reinstallare il sistema e ripristinare i dati da una copia di backup per assicurarti di non essere ancora infetto.

Passo 1
Innanzitutto dobbiamo accedere in modalità provvisoria per evitare l'avvio di alcuni servizi e processi, per vedere come accedere in modalità provvisoria possiamo andare al seguente link:

Passo 2
In secondo luogo, dobbiamo accedere al task manager facendo clic con il tasto destro sulla barra delle applicazioni e selezionando l'opzione corrispondente "Task manager".

Una volta lì andiamo alla scheda Processi e dobbiamo guardare quei processi che non ci sembrano normali, una volta visti faremo clic con il tasto destro su di esso e selezioneremo l'opzione "Apri posizione file".

Questo file può essere scansionato con il nostro software antivirus e/o antimalware perché conosciamo già il percorso e quindi abbiamo dei dubbi. Fino a questo punto possiamo determinare l'integrità e l'affidabilità del file.

Nel caso in cui non otteniamo risultati, possiamo andare al file hosts del sistema e lì controllare se siamo vittime.

Per questo apriamo il menu Esegui: (+ R) e inserisci la seguente riga: 

 notepad% windir% / system32 / Driver / etc / host
Questo mostrerà il file hosts. Se noti che le nuove voci appaiono in fondo a indirizzi IP esterni diversi da 127.0.0.1 e non le conosci, sembreranno aggiunte dal worm ransomware.

Passaggio 3
Oltre a questo possiamo consultare che programmi o applicazioni accedono all'avvio del sistema, poiché alcuni file infetti potrebbero essere dall'inizio, per verificarlo andiamo alla scheda Avvio nel Task Manager e controlliamo in dettaglio quali applicazioni iniziano con Windows 10:

Nel caso in cui vedi qualcosa di anomalo, selezionalo e fai clic sul pulsante Disabilita. Ti consigliamo di vedere il tutorial che abbiamo messo per te perché ti insegna come gestirlo.

Passaggio 4
Successivamente accediamo all'editor del registro di Windows 10 utilizzando la combinazione di tasti + R e inserendo il comando regedit.

Lì andiamo su Modifica / Cerca o usa i tasti Ctrl + F e nella finestra visualizzata cercheremo il nome ransomware:

INGRANDIRE

È importante tenere a mente di non eliminare i registri non antivirus poiché ciò comprometterebbe la stabilità del sistema. Dobbiamo eliminare tutti i record di virus nelle seguenti posizioni:

  • % dati app%
  • % LocalAppData%
  • % Dati del programma%
  • % WinDir%
  • % Temp%

In questo momento sarebbe interessante poter eseguire applicazioni per analizzare le nostre apparecchiature. Si consiglia di rivedere il quarto capitolo all'interno di questo tutorial "Strumenti per proteggere o recuperare file crittografati da ransomware " poiché possiamo trovare strumenti che possono aiutare a trovare e risolvere questo attacco. Dobbiamo sempre tenere in considerazione le raccomandazioni commentate per evitare di cadere nella trappola di un Ransomware.

Se sei uno di quelli che non hanno effettuato un backup, tieni presente che potrebbe essere possibile recuperare i dati cancellati, perché questo malware prima crittografa i tuoi file e poi li elimina. Dopo aver rimosso questo ransomware, ti consigliamo di utilizzare strumenti di recupero file eliminati. Alcuni li puoi recuperare.

6. Come rimuovere e proteggere gli attacchi ransomware Wanna Decryptor 2.0


A partire dal 16/05/17, continuiamo a vedere molte notizie sulla diffusione del massiccio attacco Ransomware con un virus chiamato Vuoi Decrypt0r 2.0 che è ospitato sui computer e crittografa anche le informazioni utilizzando una combinazione di algoritmi RSA e AES-128-CBC in cui i file infetti, che sono crittografati, hanno automaticamente il estensione .WNCRY.

Quindi, quando proveremo ad accedere al computer o a uno di questi file, riceveremo un messaggio non molto gratificante:

L'obiettivo di questo massiccio attacco è raggiungere il maggior numero di vittime e finora abbiamo queste cifre:

  • Più di 150 paesi colpiti.
  • Più di 200.000 persone hanno attaccato nei loro file.
  • Finora, sono stati persi più di 55.000 USD pagando il "riscatto" per i tuoi file.

La cosa peggiore di tutto questo è che si teme che la minaccia continui a crescere. Quando il virus colpisce i nostri file, possiamo vedere che questi, come abbiamo detto, hanno l'estensione .WNCRY:

Possiamo vedere che viene creato un file di testo chiamato @Please_Read_Me @ dove vedremo le istruzioni fornite dall'attaccante:

INGRANDIRE

Possiamo vedere quanto segue:

Tutto è rivolto a noi che paghiamo l'importo minimo, che è di USD 300 per recuperare le nostre informazioni poiché la chiave che ci consente di decrittografare i dati non è ospitata localmente ma si trova sui server dell'attaccante.

Questo virus sta attaccando i computer con sistema operativo Windows in tutte le sue versioni:

  • Windows 7, 8.1
  • Windows 10
  • Windows Vista SP2
  • Windows Server 2008/2012/2016

Solvetic vuole analizzare a fondo questo problema per evitare che ognuno sia un'altra vittima di questo massiccio attacco in tutto il mondo ed è per questo che cerchiamo di continuare a dettagliare le variabili che appaiono e alcuni modi su come sarà possibile eliminare questa minaccia dal nostro computer . .

Le raccomandazioni sono già state fornite in dettaglio in altre sezioni sopra questo manuale, ma indichiamo quelle fondamentali.

  • Mantieni aggiornati i nostri sistemi operativi.
  • Non aprire email sospette.
  • Evita di scaricare elementi da siti P2P.
  • Installa strumenti antivirus.
  • Se sospettiamo un'attività insolita, dobbiamo scollegare immediatamente l'apparecchiatura dalla rete.

Come si diffonde Wanna Decryptor 2.0
Questa è la domanda di fondo che molti utenti si pongono poiché in termini generali siamo attenti alle informazioni che gestiamo o ai siti che visitiamo. Bene, questo virus si diffonde in modo massiccio e, come riferimento, utilizzando le e-mail.

Sebbene abbiamo parlato molto dell'argomento, è comune e non varia molto essere in grado di essere infettati quando si vedono varie notifiche nel nostro vassoio dello spam come:

  • Notifiche legali da parte di qualsiasi autorità che indichino che troveremo il motivo della citazione allegata.
  • Messaggi dai nostri social network che indicano che abbiamo nuovi messaggi.
  • Richiesta da parte di enti finanziari di aggiornare le informazioni, ecc.

Come sapere se Wanna Decryptor 2.0 è un ransomware
Il motivo è molto semplice, qualsiasi virus che impedisce il normale accesso alle nostre informazioni o alle nostre apparecchiature e richiede qualsiasi somma di denaro per l'accesso è classificato come Ransomware.

Wanna Decryptor 2.0 attacca le seguenti estensioni modificandole con l'estensione .WNCRY. L'obiettivo fondamentale di Wanna Decryptor è crittografare file importanti e molto utili per ogni utente o azienda, come i seguenti:

  • Estensioni delle applicazioni di Office: .ppt, .doc, .docx, .xlsx, .sx
  • Estensioni dell'applicazione: .zip, .rar, .tar, .bz2, .mp4, .mkv
  • Estensioni del database: .sql, .accdb, .mdb, .dbf, .odb, .myd
  • Estensioni di posta: .eml, .msg, .ost, .pst, .edb
  • Estensioni per sviluppatori: .php, .java, .cpp, .pas, .asm
  • Chiavi di crittografia ed estensioni del certificato: .key, .pfx, .pem, .p12, .csr, .gpg, .aes
  • Estensioni di progettazione grafica: vsd, .odg, .raw, .nef, .svg, .psd
  • Estensioni della macchina virtuale: .vmx, .vmdk, .vdi

Come possiamo vedere, la minaccia è latente e ampia. Siamo particolarmente interessati a quelli che interessano i server principali come estensioni di database, macchine virtuali, file di server vitali come .php, .java ecc. Ciò può causare un arresto forse anche più esteso dei file più semplici da ripristinare come xlsx, pdf, docx ecc.

Ripetiamo che questo continuerà ad evolversi e migliorare. Quindi non sottovalutiamo mai il tuo avanzamento.

Spiegheremo in dettaglio quale processo Wanna Decryptor 2.0 esegue per prendere il controllo dei nostri file.

  • Innanzitutto, il virus scrive una cartella con caratteri casuali nel percorso C:\ProgramData con il nome taskche.exe oppure nel percorso C:\Windows con il nome di mssecsvc.exe e tuasksche.exe.
  • Una volta che queste cartelle sono state scritte, il virus darà a questi file il pieno controllo eseguendo quanto segue:
 Icacl. / concedere Tutti: F / T / C / Q
  • Utilizzare quindi il seguente script per la sua esecuzione: XXXXXXXXXXXXXX.bat (Cambia X per numeri e/o lettere)
  • Utilizzerà i suoi hash, o algoritmi crittografici, da Wanna Decryptor 2.0. A questo punto possiamo utilizzare strumenti come antivirus o antimalware per individuare questi hash e procedere alla loro rimozione dal sistema.
  • Per assumere il pieno controllo, Wanna Decryptor 2.0 utilizza servizi TOR nascosti con l'estensione .onion come segue:
 jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onion
In questo modo vedremo come analizza tutte le nostre unità disponibili fino a trovare le suddette estensioni di file e procedere con la loro crittografia e rispettivo pagamento. Come abbiamo detto in altre versioni sul fatto che sia possibile decrittografare i file crittografati da Wanna Decryptor 2.0 … te lo diciamo ancora una volta la risposta è no a causa del livello di crittografia utilizzato nel processo di AES-265 con un metodo di crittografia RSA che è completo e non esiste alcuno strumento, inclusa la forza bruta, in grado di decifrare i dati.

Pertanto, come abbiamo già detto in altre sezioni, siamo costretti a recuperare le informazioni in altri modi quali:

  • Recupera le informazioni che sono state crittografate dalle copie di backup precedentemente effettuate.
  • Recupera le informazioni originali che sono state cancellate dopo la sua crittografia da want decryptor 2.0. Quando siamo stati attaccati da Wanna Decryptor 2.0, prima crea una copia dei file, poi li crittografa e successivamente elimina quelli originali, assumendo il pieno controllo. (Vedi la sezione sugli strumenti di protezione e ripristino dei dati)
  • Usa Shadow Explorer in precedenza e avremo la possibilità di salvare i file cancellati dai volumi protetti (Hai il link per il download nella sezione dei consigli per proteggerti dal ransomware).

Come processo di eliminazione, segui lo schema spiegato in precedenza nella sezione WannaCry, entrando in modalità provvisoria, controllando alcune cartelle in cui è ospitato, eliminando l'esecuzione di servizi e programmi all'avvio di Windows e analizzando con lo strumento più antimalware che ti piace (MalwareBytes , Hitman Pro, Windows Defender Offline sono alcuni dei tanti che abbiamo a disposizione per questa scansione).

Infine, se vuoi sapere in tempo reale qual è lo stato attuale di Wanna Decryptor 2.0 ed essere a conoscenza dell'andamento di questo attacco con dettagli come computer e utenti infetti, paesi in cui è stato ospitato il virus, tra gli altri, possiamo vai al seguente link:

Questo sarà ciò che osserveremo:

INGRANDIRE

Lì vedremo il grafico con i rispettivi siti interessati, il totale dei computer interessati, ecc. In basso vedremo i grafici di come questo attacco è aumentato in tutto il mondo:

INGRANDIRE

Ti consigliamo di seguire questi suggerimenti e di mantenere aggiornate le copie di backup delle informazioni più rilevanti.

Abbiamo visto come ci troviamo in un mondo insicuro che può influenzare le nostre vite in qualsiasi momento, ma se siamo cauti e attenti, non saremo certamente un'altra vittima del ransomware poiché tutta la nostra sicurezza dipende da noi.

Ecco altri tutorial e articoli sulla sicurezza. Ti chiediamo solo di condividere questo tutorial in modo che possiamo essere tutti vigili e un po' più sicuri di fronte alle minacce a cui siamo esposti quotidianamente nell'uso di Internet. Continueremo i tutorial giornalieri per tutti voi. Sii attento a Solvetic per soluzioni IT e tecnologiche, non solo per la sicurezza, ma per tutti i campi e livelli.

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
▷ Avvia la MODALITÀ SICURA CON RETE Windows 10
2
post-title
Come disabilitare l'ID dell'impronta digitale Honor View 20
3
post-title
Lettura di servizi web da Android con JSON
4
post-title
Come configurare IP, DNS e DHCP in CentOS 8
5
post-title
Come cambiare la lingua predefinita Windows 10 e la lingua di Cortana

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -