Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareVulnerabilità

Come funziona il ransomware WannaCry e cosa fare per proteggersi

ransomware  SMB  WanaCrypt0r  WannaCry   lunedì, 15 maggio 2017

WannaCry, anche noto come WCry, WanaCrypt0r o Wana Decrypt0r 2.0, è una variante di ransomware che si è diffusa in maniera incontrollata in tutto il mondo a partire da venerdì 12 maggio.

Questo malware è stato individuato già qualche settimana fa dagli esperti di sicurezza del MalwareHunterTeam, come riportato ad esempio da Bleeping Computer, ma inizialmente la sua diffusione appariva piuttosto scarsa. Successivamente, WannaCry/WanaCrypt0r ha iniziato a diffondersi rapidamente su vasta scala sfruttando gli exploit denominati EternalBlue e DoublePulsar, parte di un pacchetto di strumenti di hacking rilasciato pubblicamente il 14 aprile scorso dal collettivo di hacker noto come Shadow Brokers.

L’exploit EternalBlue sfrutta una vulnerabilità critica del protocollo SMBv1 implementato nei sistemi Windows (CVE-2017-0145), per risolvere la quale Microsoft ha già rilasciato opportune patch, descritte nel bollettino di sicurezza MS17-010 pubblicato il 14 marzo.

WanaCrypt0r sfrutta questa vulnerabilità per diffondersi sulle reti pubbliche e private con modalità simili a quelle di un worm. La prima fase dell’infezione viene infatti condotta mediante un eseguibile che effettua scansioni della rete Internet sulla porta TCP 445 (SMB) alla ricerca di sistemi Windows vulnerabili. Una volta ottenuto l’accesso ad una macchina, il malware crea una copia di sé stesso sul sistema e la esegue.

Prima di attivare la funzionalità di ransomware, il componente worm di WanaCrypt0r effettua un controllo sull’esistenza online dei seguenti URL:

  • hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • hxxp://ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Nel caso in cui questi domini rispondano, il malware non si attiva e termina la propria esecuzione. Questi domini, definiti come una sorta di “kill switch”, sono stati successivamente registrati da un ricercatore indipendente (MalwareTech) ed utilizzati come sinkhole, fermando l’azione del malware e rallentando temporaneamente la sua diffusione.

Se WanaCrypt0r non riceve risposta dai domini codificati al suo interno, estrae ed esegue sulla macchina della vittima un secondo componente, che implementa la funzionalità di cifratura dei file tipica di questa tipologia di malware.

Una volta attivatosi, come prima cosa il ransomware estrae la nota di riscatto localizzata nella lingua del sistema e la memorizza in una cartella temporanea. WanaCrypt0r supporta almeno 30 lingue diverse, tra cui: Bulgaro, Ceco, Cinese (semplificato), Cinese (tradizionale), Coreano, Croato, Danese, Filippino, Finlandese, Francese, Giapponese, Greco, Indonesiano, Inglese, Italiano, Lettone, Norvegese, Olandese, Polacco, Portoghese, Rumeno, Russo, Slovacco, Spagnolo, Svedese, Tedesco, Turco, Vietnamita.

Prima di iniziare a cifrare i file dell’utente, WanaCrypt0r esegue le seguenti azioni:

  • scarica un client TOR che utilizza per comunicare con i server C&C;
  • lancia un comando per consentire a tutti gli utenti di accedere con pieni diritti a tutti i file contenuti nella cartella e in tutte le sottocartelle in cui il ransomware è stato eseguito;
  • termina i processi associati a server di database e di posta elettronica (MySQL, SQL Writer, SQL Server, Microsoft Exchange).

WanaCrypt0r cifra tutti i file con le seguenti estensioni:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Questo ransomware appende ai file cifrati l’estensione “.WNCRY”. I file contengono al loro interno la stringa “WANACRY!” all’inizio, prima del blocco cifrato.

In tutte le cartelle contenenti file cifrati, WanaCrypt0r memorizza il file di testo “@Please_Read_Me@.txt” contenete la nota di riscatto e una copia del file eseguibile “@WanaDecryptor@.exe”. Successivamente, il malware lancia alcuni comandi per cancellare le copie shadow di sistema e disabilitare le opzioni di ripristino di Windows. Infine, viene eseguito il programma “@WanaDecryptor@.exe” che mostra la schermata di blocco contenente le istruzioni per il pagamento del riscatto (vedi Figura 1).

WannaCry decryptor

Figura 1 – Schermata di Wana Decryptor 2.0

WanaCrypt0r sostituisce la schermata di sfondo del desktop con l’immagine mostrata in Figura 2.

WannaCry desktop

Figura 2 – Schermata desktop di WanaCrypt0r

La nota di riscatto contiene il testo seguente (versione Inglese, indirizzi offuscati):

Q: What's wrong with my files?

A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
 If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
 Let's start decrypting!

Q: What do I do?

A: First, you need to pay service fees for the decryption.
 Please send $300 worth of bitcoin to this bitcoin address: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
 Run and follow the instructions! (You may need to disable your antivirus for a while.)
 
Q: How can I trust?

A: Don't worry about decryption.
 We will decrypt your files surely because nobody will trust us if we cheat users.


* If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.

Al momento non sono noti strumenti gratuiti in grado di decifrare i file presi in ostaggio da questo ransomware. WannaCry/WanaCrypt0r è una minaccia in fase di evoluzione ed è possibile che nuove versioni di questo malware possano venire rilevate in-the-wild nei prossimi giorni. Già si ha notizia di una nuova versione (WannaCry 2.0) priva di “kill switch” e quindi potenzialmente più difficile da contrastare.

Per evitare di cadere vittime di questa minaccia, si raccomanda di installare la patch di Microsoft MS17-010 ove possibile. Per i sistemi non più supportati (Windows XP, Windows 8 e Windows Server 2003) Microsoft ha rilasciato un aggiornamento di emergenza. Si raccomanda agli utenti e ai gestori di sistemi Windows desktop e Server di prendere visione del seguente avviso di sicurezza Microsoft (in Inglese) e di aggiornare ove necessario i propri prodotti:

Qualora non fosse possibile applicare gli aggiornamenti di sicurezza, Microsoft consiglia di disabilitare completamente il supporto al protocollo SMBv1. Per le opportune istruzioni, si suggerisce di prendere visione della fonte seguente (in Inglese):

Informazioni generali su come prevenire le infezioni da ransomware sono contenute nella Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Il worm EternalRocks sfrutta EternalBlue e altri sei exploit pubblicati da Shadow Brokers

23 maggio 2017

È stato individuato un nuovo worm, battezzato EternalRocks o BlueDoom, che si diffonde sfruttando l’exploit EternalBlue, già utilizzato da WannaCry, UIWIX e Adylkuzz.Leggi tutto

Il ransomware UIWIX si installa sfruttando l’exploit EternalBlue

18 maggio 2017

È stata scoperta una nuova variante di ransomware, denominata UIWIX, che viene diffusa sfruttando l'exploit EternalBlue, già utilizzato da WannaCry.Leggi tutto

Vulnerabilità in prodotti Cisco (17 maggio 2017)

18 maggio 2017

Cisco ha rilasciato il 17 maggio 2017 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti, tra cui una critica nel prodotto Cisco Prime Collaboration Provisioning.Leggi tutto