A metà Maggio è stato registrato uno dei più massicci attacchi su scala mondiale. Parliamo di circa 74 Paesi mandati in tilt e migliaia di computer compromessi, tra cui utenze casalinghe, aziendali, pubbliche amministrazioni e strutture sanitarie. Tutti infettati dal famigerato ransomware WannaCry (anche detto Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2).
Ma cosa fa esattamente e come proteggerci? Vediamolo
WannaCry è un ransomware che infetta sistemi Windows (sia desktop che server) tramite attacchi multipli tra cui il phishing, ma quello più pericoloso è l’infezione tramite una vulnerabilità conosciuta (che Microsoft ha chiuso pochi mesi fa grazie agli aggiornamenti automatici).
Tale vulnerabilità è nel protocollo RDP di Windows (ovvero il Desktop Remoto) che SMB (Server Message Block) ed ha la peculiarità quasi unica: è completamente invisibile all’utente finale (non richiede azioni da parte dell’utente).
Una volta infettato il PC avvengono due cose:
Questa è una delle maschere (varianti) che apparirà a video:
Il riscatto è in BitCoin, ovvero tramite moneta virtuale non tracciabile e la finestra ci spiega anche come acquistarla convertendo denaro reale. Molti utenti, purtroppo, sono stati costretti a pagare mentre altri si sono visti perdere tutti i dati.
E’ quindi evidente che WannaCry è un “demone” di internet, che distrugge qualsiasi cosa almeno che non si paghi un riscatto. Il problema è enorme: pensiamo al caso Regno Unito, con diversi ospedali (NHS) colpiti dal ransomware e interi reparti bloccati giorni interi. Anche grandi società, tra cui FedEx, Renault, Deutsche Bahn, MegaFon, Sberbank, Telefónica e altre sono state oggetto di attacco con settori completamente bloccati.
Inutile dire che il miglior modo di proteggersi è tenere aggiornato il proprio PC e server Windows, abilitando gli aggiornamenti automatici.
Per chi ha un Microsoft Server Windows 2016 e Microsoft Server Windows 2012 (tutte le versioni) consigliamo due operazioni in più che alzano ancora di più il livello di sicurezza del server:
Per la prima operazione, possiamo agire direttamente dal registro di sistema:
Dopo il riavvio, il servizio RDP avrà come porta la 43389 (come in esempio).
Al termine, proteggiamo la porta con il firewall di windows abilitando solo gli indirizzi IP sicuri da cui ci colleghiamo.
3 commenti presenti
Fabio ha commentato il 2017-06-27 18:55:20
Ciao
aggiungo anche che la buon vecchia abitudine del Back Up può fare la differenza. Molte aziende purtroppo non lo fanno più o utilizzano backup sempre collegati in rete.
Christian Cantinelli ha commentato il 2017-06-28 09:16:17
Ciao Fabio,
giustissimo! Un backup esterno è sempre bene averlo e non collegato direttamente alla macchina.
Per essere sicuri al 100%, sarebbe utile avere un backup con agent che si collega ad un server esterno e solo questo puo’ lanciare backup/restore.
La nostra soluzione per questo è il backup R1Soft CDP che abbiamo già nelle nostre offerte:
https://www.serverplan.com/servizi-avanzati/backup-orario
Buona giornata!
Fabio ha commentato il 2017-06-28 10:16:47
Ah, anche nel mio piano reseller c’è R1Soft solo che è giornaliero. Ma a me va benissimo così.