FANDOM


Wannacry 03

Distribuzione delle infezioni in diverse regioni.

WannaCry, originariamente chiamato come WanaCrypt, con l'alias di Wana Crypt0r e Wana Decrypt0r, è un ransomware worm per Microsoft Windows (può essere eseguito su Linux tramite WINE) che utilizza due strumenti trapelati dall'NSA che ha scatenato il caos negli aeroporti, banche, università, ospedali e molti altri servizi. Si è diffuso in circa 150 paesi in tutto il mondo, principalmente Russia, Ucraina, Stati Uniti, e India. Non è decifrabile in quanto utilizza RSA-2048; così, l'unico modo per recuperare i file è il backup o direttamente pagare con Bitcoin l'equivalente di $300. Il pagamento richiesto aumenta all'equivalente in Bitcoin di $600 dopo 72 ore dall'infezione iniziale del PC. 7 giorni dopo l'infezione della vittima, il malware inizierà l'eliminazione dei file del computer.

Infezione

Questo programma può essere consegnato allo stesso modo perché essendo un trojan, è caricato attraverso collegamenti ipertestuali gestiti da e-mail, link di Dropbox, o pubblicità. Quando viene eseguito, il ransomware crittografa rapidamente i file sul computer utilizzando lo stesso metodo di crittografia utilizza dalla Messaggistica Istantanea, tranne solo quelli utilizzati dal sistema. Ha anche la capacità di attaccare le unità di rete.

Nuova Versione

Dalla versione 2.0 questo ransomware, invece di utilizzare e-mail di spam, link contraffatti o pubblicità come mezzo di trasferimento, si comporta come un worm. Con l'aiuto di un codice maligno remoto, attacca ogni computer vulnerabile connesso a una rete.

Analizza per TCP e UDP le porte 139 e 445 (SMB) dal computer, se si è trovato l'ascolto e l'host è trovato vulnerabile a questo attacco, si autoscaricherà nell'host e avvierà la sua esecuzione.

Exploit

Wannacry 01

Exploit usato da WannaCry

Questo ransomware utilizza il kit di exploit EternalBlue trapelato dai The Shadow Brokers, che è stato patchato da Microsoft il 14 Marzo. Tuttavia, molte aziende e organizzazioni non hanno installato questa patch. A causa del danno che il ransomware ha causato, Microsoft ha rilasciato una patch per Windows XP, Windows Server 2003, e Windows 8, tutti questi non sono più supportati al momento.
WanaCrypt0r 2

WanaCrypt0r 2.0 WannaCry Ransomware

Molti venditori di antivirus e società di sicurezza informatica hanno anche creato programmi per "immunizzarsi" dagli strumenti di hacking dell'NSA.
VOGLIO PIANGERE - IL VIRUS SUPREMO È QUI!

VOGLIO PIANGERE - IL VIRUS SUPREMO È QUI!

Arresto

Il 14 Maggio, un ingegnere di rete britannico chiamato Darien Huss, ha scoperto che il ransomware cerca un dominio non registrato con lettere e numeri senza senso. Se il sito viene trovato, il ransomware fermerà la diffusione. Darien ha condiviso il "Kill Switch" con un uomo di nome MalwareTech nell'internet. Hanno comprato il dominio per fermare il ransomware. Tuttavia, lo sviluppatore di WannaCry ha aggiornato il ransomware per essere inalterato da ciò.
Wannacry 08-1024x372

Proprietà dei file malware utilizzati da WannaCry

Rilasciato dello strumento di decrittazione

Adrien Guinet, un ricercatore di sicurezza francese da Quarksab, ha scoperto che il ransomware non ha rimosso i numeri primi della memoria dopo la crittografia dei file, il che significa che l'utente può utilizzare questi numeri per generare la coppia di chiavi pubbliche e chiavi private di nuovo.

Prima di generare una coppia di chiavi di cifratura RSA, il sitema dovrà scegliere due numeri primi. Dopo la generazione di queste chiavi, i numeri devono essere tenuti segreti per impedire ad altri utenti (come gli hacker) di usarli per rigenerare la chiave privata.

Il WanaKiwi cerca di scoprire i numeri primi lasciati dal ransomware e genera la chiave privata, in modo che l'utente potrebbe non avere bisogno di pagare il riscatto per la decrittazione dei file. Tuttavia ci sono alcuni limiti:

  1. La macchina infetta non sarebbe mai dovuta essere riavviata.
  2. Poiché il luogo nella memoria per questi numeri primi non è più allocata, potrebbero essere cancellati o sovrascritti da altri processi, così lo strumento di decrittazione sarebbe dovuto essere riavviato il più presto possibile al fine di trovare i numeri.

Altrimenti lo strumento di decrittazione potrebbe non essere in grado di aiutare a decrittografare i file.

Altre Lingue

WannaCrypt Map

WannaCrypt Map

WannaCry Ransomware in Action NSA Exploit based

WannaCry Ransomware in Action NSA Exploit based

Video di The PC Security Channel.

Killing WannaCry Ransomware Explained in depth

Killing WannaCry Ransomware Explained in depth

Wannacry 06

La nota di riscatto in cinese.

WannaCry fornisce traduzioni per queste lingue:
  • Bulgaro
  • Cinese (Semplificato)
  • Cinese (Tradizionale)
  • Croato
  • Ceco
  • Danese
  • Filippino
  • Finlandese
  • Francese
  • Greco
  • Indonesiano
  • Inglese
  • Italiano
  • Giapponese
  • Coreano
  • Lettone
  • Norvegiese
  • Polacco
  • Portoghese
  • Rumeno
  • Russo
  • Slovacco
  • Spagnolo
  • Svedese
  • Tedesco
  • Turco
  • Vietnamita

Orgnizzazioni colpite (secondo Wikipedia)

  • Corte di Giustizia di São Paulo (Brasile)
  • Università Aristotele di Salonicco (Grecia)
  • Vivo (Telefônica Brasil) (Brasile)
  • Lakeridge Health (Canada)
  • PetroChina (Cina)
  • Public Security Bureaus (Cina)
  • Università Sun Yat-sen (Cina)
  • Instituto Nacional de Salud (Colombia)
  • Renault (Francia)
  • Deutsche Bahn (Germania)
  • Telenor Hungary (Ungheria)
  • Andhra Pradesh Police (India)
  • Dharmais Hospital (Indonesia)
  • Harapan Kita Hospital (Indonesia)
  • Università di Milano-Bicocca (Italia)
  • Q-Park (Olanda)
  • Portugal Telecom (Portogallo)
  • Automobile Dacia (Romania)
  • Ministry of Foreign Affairs (Romania)
  • MegaFon (Russia)
  • Ministry of Internal Affairs (Russia)
  • Russian Railways (Russia)
  • Banco Bilbao Vizcaya Argentaria (Spagna)
  • Telefónica (Spagna)
  • Sandvik (Svezia)
  • Garena Blade and Soul (Thailandia)
  • National Health Service (Regno Unito)
  • Nissan UK (Regno Unito)
  • FedEx (Regno Unito)
  • STC (Arabia Saudita)
    Wannacry-timeline

    Sequenza di eventi chiave relativi al ransomware WannaCry, fatta da Symantec.

Varianti

Compresa la prima versione, ci sono 4 versioni conosciute:

  • Versione 1.0 - 25 Aprile 2017
  • Versione 2.0 - 13 Maggio 2017
  • Versione 2.1 - 14 Maggio 2017
  • Versione 2.2 - 12 Maggio 2017

Patch

Riferimenti