skip to main | skip to sidebar
115 commenti

WannaCry, attacco ransomware planetario: i fatti, i danni e come rimediare

Credit: @dodicin.

Pubblicazione iniziale: 2017/05/12 18:53. Ultimo aggiornamento: 2017/05/16 13:50. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.


2017/05/12 18:53. Da qualche ora è in corso un attacco informatico su una scala che, senza esagerazioni, si può definire planetaria. Sono stati colpiti ospedali, università, compagnie telefoniche, aziende in almeno 70 paesi: in pratica, chiunque sia stato così idiota da non aggiornare i propri sistemi. Eh sì, perché la correzione di Windows che rende immuni a questo attacco è già disponibile da mesi. Non c’è niente di speciale o di imprevedibile in quest’incursione ricattatoria.

La tecnica è la solita: ransomware. In altre parole, i computer vengono infettati e i dati che contengono vengono cifrati con una password nota solo ai criminali. Per avere questa password bisogna pagare un riscatto. Se volete leggere il resoconto di un caso concreto che ho seguito, eccolo.

Il malware è stato denominato WanaCrypt0r 2.0 o WCry/WannaCry. La patch di aggiornamento di Windows da installare per bloccarlo è la MS17-010, disponibile da marzo scorso.

Ripeto: la patch è disponibile da marzo. Se non avete aggiornato i vostri computer, ve la siete cercata.

Aggiornerò questo articolo man mano che avrò novità. Adesso piantatela di leggere e andate immediatamente a patchare. Se non potete patchare, spegnete e scollegate i vostri computer Windows. E raccomandate la vostra anima alla vostra divinità preferita.










2017/05/13 09:00. Durante la serata e la notte ho raccolto un po' di informazioni per rispondere alle domande più frequenti. Le trovate qui sotto.


Cosa posso fare per difendermi?


1. Aggiornate il vostro Windows per installare gli aggiornamenti correttivi (patch). Se non sapete come fare, chiedete a qualcuno che lo sa. Microsoft ha radunato tutte le patch per le varie versioni di Windows qui (spiegone).

2. Aggiornate il vostro antivirus. Praticamente tutti gli antivirus sul mercato riconoscono ormai questo malware.

3. Fate un backup di tutti i vostri dati e scollegatelo dalla rete locale.

4. Chiedetevi perché non avete fatto queste cose prima d’ora e perché c’è voluto un disastro planetario per farvele fare.

5. Come regola generale, non aprite allegati nelle mail senza averli prima controllati con un antivirus aggiornato (anche se questo ransomware non usa la mail per propagarsi, gli altri lo fanno).

6. Disabilitate SMB 1.0 come descritto qui.

7. Controllate di non avere condivisioni SMB aperte che si affacciano a Internet, incluse quelle su VPN.

8. Se avete un computer infetto, non collegatelo alla rete locale; tenterà di infettare tutti gli altri computer della rete.

9. Se siete responsabili della sicurezza di una rete, consentite il libero accesso a questo URL per bloccare l'attacco (per ragioni descritte qui sotto): www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.


Sono stato colpito e i miei dati sono cifrati. Cosa posso fare?


1. Se avete un backup recente dei dati, usatelo per ripristinarli.

2. Se scoprite che anche il backup è cifrato (perché poco furbamente fate i backup su un disco di rete invece che su supporti fisicamente rimovibili), avete solo due possibilità: tentare di ricostruire da capo i dati cifrati oppure pagare il riscatto, sperando che i criminali vi diano davvero la chiave di decifrazione.

Non sono al corrente di vittime che abbiano pagato il riscatto, abbiano ottenuto la chiave di decifrazione e siano riusciti a recuperare i propri dati. Tutte le società di sicurezza informatica sconsigliano di pagare, perché questo alimenta e incentiva attacchi di questo genere.


Non uso Windows, sono al sicuro?


Il malware colpisce soltanto sistemi Windows e soltanto se non aggiornati. Se usate MacOS, Linux, Android, Windows Phone, iOS, ChromeOS o qualunque altro sistema operativo diverso da Windows non avete problemi.

Naturalmente se il vostro lavoro o i vostri dati dipendono da qualcun altro che ha computer Windows vulnerabili, potreste avere problemi lo stesso.


Quali versioni di Windows sono vulnerabili?


Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 e R2, Windows 10, e Windows Server 2016 se non sono stati aggiornati da marzo scorso.

Windows XP è vulnerabile ma non è più supportato da Microsoft da aprile 2014. Se lo usate ancora su un computer connesso a Internet, come il servizio sanitario britannico, state cercando guai. In via eccezionale, Microsoft ha comunque rilasciato una patch anche per XP.


Come faccio a sapere se il mio Windows è aggiornato e quindi immune?


Se avete gli aggiornamenti automatici di Windows e una versione recente di Windows, siete a posto. Se avete Windows 10 Creators Update, siete immuni a questo problema.

Su Windows 7 e 8, andate a Pannello di controllo - Programmi - Programmi e funzionalità - Visualizza aggiornamenti installati. Su Windows 10 (da Anniversary Update in poi), date un’occhiata a Impostazioni - Aggiornamenti e sicurezza - Windows Update - Cronologia. Per le versioni pre-Anniversary Update di 10 vale la procedura descritta per Windows 7 e 8. Grazie a Ruggio81 per queste info.

Se siete tecnici e sapete usare Metasploit, ci sono delle istruzioni apposite; oppure potreste usare il Microsoft Baseline Security Analyzer.


Come si diffonde l’attacco?


Il malware si propaga da solo da una rete locale all'altra via Internet cercando e sfruttando le condivisioni di rete SMB maldestramente rivolte verso Internet: questo è quello che emerge dall'analisi fatta da Malwarebytes (v. sezione "SMB vulnerability leveraged to spread ransomware worldwide"). Non è necessaria alcuna azione da parte dell'utente.

Quando il malware riesce a insediarsi in un computer di una rete locale, cerca di propagarsi agli altri computer della rete usando di nuovo le condivisioni SMB e sfruttandone la vulnerabilità già citata. Basta quindi che in un’azienda s’infetti un singolo computer Windows per rischiare di infettare tutti gli altri computer Windows non aggiornati presenti sulla stessa rete locale.

Alcune delle fonti citate in fondo a questo articolo ipotizzano per ora che l’intrusione iniziale possa avvenire (anche) in modo classico, attraverso una mail contenente un allegato infettante oppure una pagina Web contenente codice ostile, ma finora nessuno ha presentato prove di diffusione via mail.

Va notata la scelta del momento per l’attacco: nel pomeriggio di venerdì in Europa, quando gli addetti alla sicurezza di molte aziende hanno già lasciato il posto di lavoro o lo stanno per lasciare e appena prima dei backup di fine settimana, in modo da massimizzare il danno.

Dopo alcune ore, Malwaretech ha preso il controllo (sinkhole) di uno dei domini citati nel malware:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 

Malwaretech ha scoperto poi (e raccontato magnificamente qui) che questo dominio veniva utilizzato dai criminali come riferimento per la gestione del malware: se esiste ed è accessibile, il malware non effettua cifratura, come spiegato qui da Malwarebytes; se il malware non riesce a raggiungere questo sito, prosegue la propria opera distruttiva. Il sito è probabilmente usato come test dal malware per sapere se sta girando in una sandbox (ambiente di test) o su un computer reale: è una tecnica usata spesso in questo campo.

Il risultato è che al momento un computer vulnerabile si può ancora infettare ma l’infezione non cifra più i dati, per cui l'attacco per ora è stato in gran parte neutralizzato da Malwaretech grazie a un colpo di fortuna e alle tecniche dilettantesche usate dai criminali. Ma se non installate gli aggiornamenti correttivi, nulla impedisce ad altri criminali di ritentare con una versione di malware più robusta. E ci sono già segnali non confermati che questo sta accadendo.


Il mio antivirus rileverà l’attacco?


Se è aggiornato, molto probabilmente sì. Ormai lo fanno praticamente tutti.


Quali paesi/enti sono stati colpiti? C’è una mappa?


Nel Regno Unito sono stati colpiti in particolare l'intero sistema sanitario nazionale (costretto a sospendere tutte le attività non urgenti; sono coinvolti ospedali, cliniche, ambulatori, anche a livello dei centralini telefonici; si prevede una paralisi di vari giorni) e la Nissan.

In Francia è stata colpita la Renault.

In Slovenia il malware ha bloccato la produzione dello stabilimento Renault.

In Spagna hanno avuto gravi problemi la compagnia telefonica spagnola Telefónica e altre aziende nel settore dell’energia (Iberdola e Gas Natural).

Negli Stati Uniti anche FedEx è stata colpita.

In Russia ci sono segnalazioni di problemi presso banche (Sberbank, VTB) e ferrovie (RZD).

Sono segnalate infezioni in Russia, Turchia, Germania, Vietnam, Filippine, Italia, Cina, Ucraina, Stati Uniti, Argentina e altri paesi, per un totale di almeno 74 paesi secondo la BBC.

La Svizzera è stata sostanzialmente risparmiata, grazie anche all'informativa diramata da MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione).

Il New York Times parla di 45.000 attacchi (e presumibilmente altrettante infezioni). Su Malwaretech.com c'è una mappa animata.

Se cercate su Google intitle:"index of" "WNCRY" troverete un elenco di siti colpiti.






Voglio informazioni tecniche, ce ne sono?


Ci sono quelle di Kaspersky e quelle di rain1 (che include tutti i testi del malware in varie lingue); anche Ars Technica ne ha pubblicate. Emsisoft ha scritto un’analisi della crittografia usata. VirusTotal ha ottime info. C'è anche un video dimostrativo di un attacco. E Talos Intelligence ha info anche sul sinkholing usato per bloccare l’attacco. L'analisi di Microsoft è qui; le informazioni di F-Secure sono qui e qui.

2017/05/13 11:10: The Register ha fatto un ottimo punto della situazione; idem Malwarebytes qui.


Chi ci guadagna?


Ci guadagnano i criminali, per ora sconosciuti, che incassano i Bitcoin pagati dalle vittime. Uno dei portafogli digitali usati dai criminali dovrebbe essere questo, ma per ora non sembra che stia crescendo granché (ma mentre scrivo queste righe è venerdì sera, per cui molte aziende reagiranno lentamente). Un altro sarebbe qui. Queste fonti sono confermate da Kaspersky.

In chiaro:

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

Un conteggio aggiornato alle 10 del 13/5 stima un incasso totale circa 14 bitcoin, ossia circa 21.000 euro al cambio attuale. Ma probabilmente il grosso arriverà lunedì, alla riapertura degli uffici.

Un conteggio aggiornato alle 14 del 15/5 stima circa 29,4 bitcoin, ossia circa 50.000 dollari.



Cosa c’entra l’NSA?


L'attacco usa una tecnica presente in uno strumento d'intrusione sviluppato dall'NSA, chiamato EternalBlue/DoublePulsar, che è stato trafugato insieme ad altri da un'organizzazione criminale che si fa chiamare ShadowBrokers e che ha dapprima cercato di guadagnare mettendo all’asta la refurtiva e poi, di fronte al fallimento dell’asta, ha pubblicato tutto online, a disposizione di chiunque. EternalBlue/DoublePulsar è stato analizzato e poi ricreato da criminali informatici che lo stanno sfruttando per questo attacco.


Di chi è la colpa?


Fondamentalmente è dell’NSA, che ha fabbricato armi informatiche pericolosissime e non ha saputo tenerle al sicuro: è come se avesse fabbricato un’arma batteriologica (che già è una pessima idea perché uccide chiunque, non solo il nemico) e poi oltretutto l’avesse lasciata su un davanzale, a portata di tutti.

Ed è colpa dell'NSA anche perché ha tenuto per sé la conoscenza delle falle sfruttate da queste armi invece di condividerla con Microsoft e consentirle di correggere la vulnerabilità diffondendo un aggiornamento del proprio software. In sintesi, l'NSA ha scoperto un pericolo riguardante migliaia di aziende e sistemi vitali degli Stati Uniti e non ne ha informato nessuno per tenersi un vantaggio operativo: lo ha annunciato a Microsoft soltanto dopo che si è accorta che Shadowbrokers aveva rubato le sue tecniche.




Ma non è colpa di Wikileaks?


No: è un equivoco piuttosto diffuso. Gli strumenti d’attacco dell’NSA sono stati trafugati e poi pubblicati da ShadowBrokers, non da Wikileaks.




Fonti: CCN-CERT, scheda informativa Microsoft, informazioni Microsoft sulla falla MS17-010, bollettino Microsoft sulla falla MS17-010, New York Times, The Register, Motherboard, Brian Krebs, BBC, The Intercept, Graham Cluley, Sophos, ANSA.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (115)
Come facciamo a sapere se siamo a posto?
Nel mio PC tutti gli aggiornamenti Windows iniziano con la sigla KB.
(OK, avrò detto una sciocchezza, ma ditemelo lo stesso).
Il codice KB cambia a seconda della versione di Windows.

Qui il dettaglio della patch: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
@martinobri

Dovrebbe trattarsi della patch distribuita su Windows Update come KB4012598
Mammamia, ho sentito la notizia al TG poco fa al BAR e alle parola 'è in corso un attacco su larga scala' mi sono decisamente spaventato.
Invece era 'solo' un ransomw...
Hey, il mio PC non è aggiornato! o.o
Martinobri la prima verifica che puoi fare è quella di leggere la data degli ultimi aggiornamenti installati cercando Update nel PC.
Tendenzialmente se hai gli update automatici attivati non c'è motivo di credere tu non sia patchato.

LAvoro nel settore e uso volontariamente un PC su cui Update non funziona.

Ho già preparato birra e pop-corn. Anche se devo ammettere, oggi un PC aziendale è caduto nella trappola... Preparò un discorso convincente con la Direzione per lunedì... sapete come si dice, il meccanico non ha mai il veicolo a posto...
Sì ma "patchare" non si può sentire... Non sono nemmeno sicuro di aver capito: si parla di aggiornare il sistema operativo, no?
Uso Linux Ubuntu LTS. Problemi? Buon fine settimana.
I miei computer sono patchati, ma ho anche il "vizio" di disabilitare i processi "Server" (SMB) ed eventualmente anche Workstation, sui PC dove non serve (esempio il portatile di cui non condividerò mai nulla)... Se il processo Server è disabilitato un eventuale PC vulnerabile (e.s. XP o un sistema che non si può aggiornare, come una TAC, risonanza (si: abbiamo una TAC che ha windows)) è al sicuro?
In ambiente consumer valgono sempre e solo le solite raccomandazioni, attenzione ai file che si aprono in particolare allegati di email e usare se possibile il client di posta Outlook Ua se avete Windows 10. Oggi si sta creando il panico soli perché grazie ad un vecchissima vulnerabilità , da due mesi patch-ata, un PC è in grado di colpire tutti quelli rete con esso, è la capacità propagazione quella che fa la differenza. Un PC personale casalingo non è più in pericoloso di quanto lo era ieri
Anche colpa deghli amministratori di sistema che non tengono aggiornato il parco macchine!
Paolo può essere utile disattivare la funzionalità SMB dai dispositivi in via precauzionale?

Questo il percorso per Win 10: Pannello di Controllo -> Programmi -> Attiva/Disattiva funzionalità di Windows -> Via la spunta da SMB
Per verificare l'aggiornamento in Win7:
in cronologia aggiornamenti, verso la metà di marzo,
KB4012212 per 32bit
KB4012215 per 64bit
@lufo88, per esperienza personale ti posso dire che spesso le colpe sono molto più in alto del sysadmin...
"Non abbiamo budget!"
"Ci sono altre priorità!"
"Ma perchè cambiare se funziona?"
"Ma potete fare gli aggiornamenti a mano, no?" (questa me l'hanno detta per giustificare il mancato acquisto di un sistema di patching centralizzato per un parco macchine di 3000 pc).

Era solo questione di tempo, e nonostante tutto io ho i miei dubbi che basti una sveglia del genere per far cambiare registro a chi tiene in mano i cordoni della borsa.
Non comprendo una cosa. Magari anche tante cosa ma cominciamo da questa.

Da un lato affermi:
a) "Di chi è la colpa?
Fondamentalmente è dell’NSA, che ha fabbricato armi informatiche pericolosissime e non ha saputo tenerle al sicuro. Ed è colpa dell'NSA anche perché ha tenuto per sé la scoperta delle falle sfruttate da queste armi invece di annunciarle e consentire a tutti di aggiornarsi."
E contemporaneamente:
b) "Il malware è stato denominato WanaCrypt0r 2.0 o WCry/WannaCry. La patch da installare per bloccarlo è la MS17-010, disponibile da marzo scorso. Ripeto: la patch è disponibile da marzo. Se non avete aggiornato i vostri computer, ve la siete cercata."

Se la patch MS17-010 è disponibile da marzo, ... cosa ha secretato NSA, impendendo a tutti di aggiornarsi?
E intanto su La Stampa si confonde il sito https://intel.malwaretech.com/ con Intel...
OTTIMA indagine, grazie Paolo, domani verifichero i vari link che hai dato
Penso che per il momento sarebbe il caso di disabilitare ANCHE servizi tipo Dropbox, Google Drive, Box.com e simili visto che magari il pc personale potrebbe essere pure "pulito & protetto" ma magari l'infezione potrebbe entrare da una di queste condivisioni fatte con un altro pc non protetto in un'altra area, tipo quella aziendale in ritardo di aggiornamenti & patch.
Fidarsi è bene ma non fidarsi... è meglio!
Grazie a chi ha risposto.

Anche colpa deghli amministratori di sistema che non tengono aggiornato il parco macchine!

Insomma... I PC della mia scuola non hanno più l'antivirus (sì) perchè, almeno così mi ha detto il tecnico che se ne occupa, non è più permesso installare antivirus free. Bisogna mettere quelli a pagamento. Che però bisogna pagare. Quindi non abbiamo gli antivirus.

Già che ci sono, ho notato un comportamento strano in uno di quei PC. Quando ci uso una chiavetta, mi crea all'interno di ogni cartella una sottocartella con lo stesso nome. Per esempio, dentro alla cartella "Vorrei l'anno sabbatico" trovo una sottocartella nuova che si chiama "Voglio l'anno sabbatico".Che però sembra una cartella ma in realtà è un file exe. Avast vede nella chiavetta dei problemi, li elenca e li toglie, ma non mi parla di virus. Sapete che roba è?
@martinobri
forse questo?
https://www.symantec.com/connect/forums/how-delete-viruses-usb-drive-newfolderexe-virus
Francesco,

cosa ha secretato NSA, impendendo a tutti di aggiornarsi?

NSA non ha impedito gli aggiornamenti. O meglio, quando si è fatta fregare gli strumenti d'attacco non ha contattato Microsoft per avvisarla e consentire di creare la patch per tempo.
Come fa il sito della mappa,per conoscere dove avvengono le infezioni?
@ gian:
Probabile. Grazie.
E ora chi glielo spiega a quelli dell'esercito degli Stati Uniti che i pc portatili che gestiscono gli elicotteri AH-64 (penso per la manutenzione) sono vulnerabili, visto che usano ancora Windows XP?
https://youtu.be/KWV9Ci_Cmr8?t=37s
O almeno così era l'anno scorso.
La cosa potrebbe diventare divertente!
Ricordo quando c'era ancora windows XP e una delle TAC aveva windows XP. Ci fu un malware che infettava tutti i pc windows senza service pack (non ricordo quale). Ovviamente la TAC era blindata, nel senso che non si poteva cambiare in alcun modo la configurazione e men che meno fare gli aggiornamenti (ovviamente non usciva neanche su internet, ma una volta infettata la rete locale...) ma fu infettata e dovemmo scollegarla e spegnerla, nell'attesa che la casa produttrice testasse il service pack e mandasse un tecnico per installarlo.

La TAC è ancora in uso e suppongo che abbia ancora XP. Lunedì ne vedremo delle belle... Anche il PACS (database con tutte le immagini mediche) ha windows... Spero sia patchato...
Ha!
Qui (http://blog.talosintelligence.com/2017/05/wannacry.html) in appendice ci sono le estensioni criptate... Non c'è 7z! Quindi chi usa 7-zip per i backup è al sicuro... Dimenticanza?
E invece no. @Marco, se vedi su https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 trovi anche .7z come estensione criptata.
Roberto, mi sa che le qualcosa non quadra
Su tutti i miei pc con 32 e 64 bit risulta l'aggiornamento cumulativo di marzo con l'etichetta KB4012215
@M. @martinobri
Stessa situazione dove lavoro io: un PC con ancora Windows XP per controllare una macchina che usa un software e dei driver compatibili solo con XP.
Cambiare il PC con uno su cui gira Windows 10 costerebbe poche centinaia di Euro, comprare una licenza per la versione del software di controllo e dei driver della macchina costerebbe svariate migliaia di Euro.
Soluzione dei capi: lasciamo tutto così come è finché funziona, mettiamo offline il PC, e se serve prelevare dati da quel PC e passarli su un altro, usare soltanto pennette USB in modalità "paranoia" formattandole prima su una macchina con Linux...e per fortuna abbiamo una sola macchina in queste condizioni!
Avrei una domanda: mi pare che tutti questi ramsomware richiedano bitcoins per il riscatto. Ora io mi chiedo: visto e considerato che i bitcoins vengono usati di preferenza per giri illegali, vista la loro difficile tracciabilità, non sarebbe il caso di regolamentarne duramente l'uso?

Faccio presente che qui non si parla più di soldi, ma di VITE UMANE. A guardare le statistiche di quello che è accaduto ieri qui in UK infatti sicuramente ci saranno stati dei morti vista la dimensione di quanto accaduto all'NHS, la chiusura dei servizi di emergenza, l'impossibilità di accedere ai passati referti medici dei pazienti. Morti magari senza un nome e cognome preciso, ma non per questo meno reali. Qui parliamo di un'emergenza enorme. Queste truffe odiose stanno diventando chiaramente un problema ineludibile al 100% anche se personalmente si adottano tutte le precauzioni possibili a causa dei comportamenti di qualcuno che magari non lo fa. Parliamo di persone rovinate economicamente, di compagnie bloccate per settimane (con tutte le conseguenze su stipendi ed introiti), di ospedali e servizi vitali.

Facile accusare l'NHS di faciloneria, ma bisogna ricordare che è stata messa sistematicamente sotto accusa, in primo luogo da queste m**** di giornalacci di Murdoch, una delle cause principali della presente decadenza delle democrazie occidentali (secondo me quella robaccia andrebbe chiusa per legge), con conseguenze drammatiche sul budget.
Il sito di microsoft per scaricare le patch inizia a fare cilecca, penso che tutto il mondo stà facendo solo un arte...
pgc,

visto e considerato che i bitcoins vengono usati di preferenza per giri illegali, vista la loro difficile tracciabilità, non sarebbe il caso di regolamentarne duramente l'uso?

Nobile idea, ma in che modo?

Se anche venissero regolamentati, cosa ci può far pensare che i criminali rispetterebbero queste regolamentazioni?

Mi ricorda molto i dibattiti politici sull'opportunità di bandire la crittografia come misura antiterrorismo.

Ahmed: "Stai usando Signal per coordinare il prossimo attentato?"
Dimitri: "Certo, mica sono scemo"
Ahmed: "Ma come! Non sai che adesso usare la crittografia è vietato dalla legge?"
Dimitri: "Siamo terroristi. Quando mai ce n'è importato qualcosa di quello che dice la legge?"
Ahmed: "Ah, già."
Come avevo commentato in un altro post, nella mia azienda si usa software datato, anche Windows XP, a cui non si fanno gli aggiornamenti automatici (gli aggiornamenti automatici possono dare dei problemi! Ok, sorvoliamo).
Anche se, come siamo messi, un'infezione è probabile, dubito che questa sia la chiave di volta per fare cambiare idea all'amministrazione.
@Martinobri

il tecnico ha detto una sciocchezza.
Potetete usare questo qui (tra l'altro tra le poche suite Firewall + AV per uso ANCHE commerciale free).
https://antivirus.comodo.com/antivirus-for-windows-10/

Non mi risulta essere il solo ad essere free anche in ambiti pubblico-commerciali.
@ferdinando traversa Ok, ma non c'è exe, per evitare di incasinare il sistema... Si possono fare archivi autoscompattanti allora...
Premesso che sono d'accordo che pagare non sia comunque una buona idea, Pero' noto la frase
"Non sono al corrente di vittime che abbiano pagato il riscatto, abbiano ottenuto la chiave di decifrazione e siano riusciti a recuperare i propri dati."
Questa frase pare in contraddizione con l'articolo del 19.04 "Cronaca di un tacco ransomware.." in cui sembra che comunque il responsabile IT sia pure in modo molto laborioso sia riuscito ad ottenere le chiavi e a ripristinare il sistema...
I pinguini non piangono.
MaurizioS,

Quando dico "non sono al corrente di vittime...", mi riferisco a vittime di QUESTO attacco.


Comunque "tacco ransomware" è un refuso bellissimo :-)
Paolo,

scusa, ma la tua reazione è classica quando si dice "facciamo qualcosa contro questo reato": non ci si può fare nulla!

Il fatto che il crimine sia impossibile da eliminare del tutto non significa che non vi siano azioni che lo incoraggiano e azioni che lo contrastano. Leggo, per esempio, che ci sono stati (Malta), NGO (Greenpeace, etc.) e tantissime altre istituzioni ed aziende che ne consentono l'uso. Io comincerei a vietarne l'uso ovunque possibile, a cominciare dal pagamento di riscatti. All'inizio sarà difficile per chi rimane vittima di ramsonware, ma poi magari l'uso di bitcoins ed analoghi decresce. Questo ovviamente non significa che non vi sia modo di pagare altrimenti, ma l'automatismo insito nel trasferimento di bitcoins per pagare ramsonware tramite transazioni assolutamente non tracciabile deve essere contrastato.

Per prima cosa: io mi rifiuterei di farne e di incoraggiarne l'uso. Poi c'è il fatto che ramsonware e bitcoins non sono la stessa cosa, lo so. Ma certo che questo sistema di accettare il pagamento di riscatti (che hai incoraggiato anche tu in articoli precedenti...) ne sta aumentando di sicuro la diffusione. Cioè, per proteggere qualche vittima oggi, si rischia di incrementare esponenzialmente il fenomeno, con risultati sempre più terrificanti visto che i rischi sono, di fatto NULLI, fino a mettere a repentaglio la vita di chi ha bisogno di un intervento urgente in un ospedale, come accaduto qui ieri.


Quello che ancora non é stato detto, é che con una propagazione così, i criminali non riusciranno mai a fornire i dati di decrittazione , anche volendo, sono troppi i dati da recuperare.
Penso sia sfuggito al loro controllo, non incasseranno mai quello che avrebbero incassato se la propagazione fosse stata più lenta
pgc,

invece utilizzare sistemi non aggiornati e potenzialmente pericolosi per gestire una vita umana non è criminale?
Tuttavia "per tempo" la patch è stata preparata, visto che l'attacco è arrivato mesi dopo la patch.
Non ho conoscenze specifiche per discutere di come i servizi segreti cerchino di sfruttare debolezze (verosimile) e di come si facciano fregare da chi viola i loro segreti (indecente) ma leggendo le informazioni di aggiornamento osservo che "per caso pare" è stato bloccato l'attacco.
http://www.bbc.com/news/technology-39907049
Leggevo solo ora dalla schermata delle macchine infette che 'puoi decriptare alcuni file ora gratuitamente'.
La strategia polico-commerciale dei ransom è pericolosamente sempre più precisa e 'professionale'.

Fa il paio con il supporto della vicenda di qualche tempo fa.

Dimostrandosi 'seri e preparati', allora la vittima sarà sempre più invogliata a pagare, trovando un certo qual supporto.

Da un lato abbiamo un tecnico che dice che non si possono mettere antivirus msu macchine di una scuola, e non è vero, ce ne sono di free con questa possibilità, dall'altra parte troviamo 'pirati seri e preparati'.

Io la vedo grigia, non so voi...
Ulteriori dettagli
http://www.rainews.it/dl/rainews/articoli/Attacco-hacker-in-99-Paesi-Europol-offensiva-senza-precedenti-a30ed051-79eb-4136-b430-e2a57da39330.html
Scusate, una domanda.

Avevo applicato tutte le patch e update sul mio W10 pro 64bit, ma dall'anniversary update in poi non ho piu' visto i miei storage in rete (nas, mediaserver, ecc...). Ho provato veramente di tutto qualsiasi modifica, driver e firmware. Dopo una settimana di prove ho deciso di formattare e re-installare Windows 10 dalla mia iso originale e fermare ogni upgrade (lo so' pericolosissimo ma se voglio poter accedere a 6 tb di dati è l'unica).
Ho ricominciato a vedere e mappare tutte le unità.

Ora, dato l'allarme per WannaCry, ho provato a disabilitare, come consigliato, SMB/CIFS 1.0 e voilà mi sono di nuovo spariti gli storage in rete.
Qualcuno ha idea di come posso salvare capra e cavoli? (tenere aggiornato w10 e continuare a vedere il mio storage)?
Grazie mille!
Marco
@Marco
non so ora nello specifico quale possa essere il tuo problema.
Il mio consiglio è:
- Ripristina Windows aggiornato con tutti gli update effettuati, AV installato e aggiornato (Bitdefender Free è una bomba).

- Verifica se cisono aggiornamenti per il NAS.
- Se non funziona, e mi pare strano, (un percorso di rete è e resta tale indipendentemente da chi lo interroga), allora ci torniamo a pensare.

Ma parti da un Windows ben protetto e aggiornato. Sicuramente risolveremo. Meglio così e 'perdere' tempo a diagnosticare il problema piuttosto che risolverlo alla carlona tenendo Windows non protetto. Tieni la mia mail del profilo a disposizione: aeroplanino78etgmail.com.

In ogni caso, al mio PC non aggiornato niente... :(
Manco i virus mi si filano... :(
pgc,

Io comincerei a vietarne l'uso ovunque possibile, a cominciare dal pagamento di riscatti.

Anche questa è un'idea nobile, ma come la attueresti in pratica?

Metti che NotaAzienda sia colpita da ransomware e che i suoi dirigenti, classici imprenditori dal braccino corto per tutto quello che non si può toccare e vedere, abbiano rifiutato di spendere per fare backup offline e patchare i PC. Risultato: o paghi, o NotaAzienda chiude. Uno scenario assolutamente tipico che stiamo vedendo su vasta scala in queste ore.

Che incentivo ha NotaAzienda a denunciare l'estorsione alle autorità? Nessuno. La polizia non può ridarle i suoi dati. Lo possono fare solo i criminali. Quindi a NotaAzienda conviene non denunciare il reato e conviene pagare il riscatto, sperando che la chiave di decrittazione arrivi. Vietare i pagamenti significherebbe colpevolizzare la vittima, che già si trova in condizioni di disperazione.

Metti che la legge vieti di pagare i riscatti. Quanti pazienti della sanità GB perderanno la propria cartella medica se gli ospedali non possono chiedere ai truffatori la chiave di decrittazione e non hanno un backup delle cartelle a causa dei tagli feroci alla spesa sanitaria?

Capisco il tuo principio: ma all'atto pratico quello che proponi non risolve nulla e causa catastrofi inaccettabili.


Secondo punto: il bitcoin è uno strumento di pagamento, come una banconota. È "non tracciabile" esattamente quanto lo è una banconota. Allora, se vogliamo bandire gli strumenti di pagamento non tracciabili, eliminiamo le banconote insieme ai bitcoin :-)


Terzo: il rimedio a questa soluzione non è vietare per legge i pagamenti: è mandare in galera i dirigenti che irresponsabilmente non hanno adottato le misure minime di sicurezza informatica.

Sottolineo "dirigenti", perché quasi sempre il problema non è l'inettitudine degli addetti alla sicurezza, è la stupidità di chi li amministra.
Marco, se disabiliti i servizi SMB, disabiliti i servizi di rete Microsoft e ovviamente non vedi più i tuoi NAS. Riabilita SMB e rifunziona tutto.
Uhm... interessante... mi trovo ad Amsterdam e venerdì pomeriggio è successa una cosa particolare... I tram della città si sono intasati. Mi sono trovato su un tram ad un incrocio con altri 4 tram fermi... risolto con un po' di retromarcia di uno e ppi via tutti. Che c'entri qualcosa?
Raf,

non pubblico il tuo commento perché non voglio regalare spazio a teorie senza capo né coda. Presenta prove, se ne hai, o scegli la strada dignitosa del silenzio.
hai ragione Paolo. Non è facile nulla di tutto questo. Ma il punto è che bisogna cominciare a chiamare bitcoins per quello che è, un metodo molto arguto per consentire transazioni non tracciabili in alcun modo. La correlazione tra ramsomware e un numero pressoché infinito di operazioni illegali mi sembra lo dimostri ampiamente.
pgc,

prova a guarsare il problema da un altro punto di vista. Se i bitcoin sono così utili per le transazioni non tracciabili, come mai gli spacciatori insistono a usare l'altro sistema non tracciabile, ossia le banconote? Le banconote ingombrano. Un wallet con cento milioni di dollari sta in una chiavetta. Cento milioni in banconote richiedono una cassa. Passare la frontiera è difficile.

In realtà i bitcoin sono _più_ tracciabili delle banconote. È grazie all'uso dei bitcoin che sappiamo in questo momento _esattamente_ quanto hanno incassato i criminali di Wannacry. Se avessero accettato contanti in busta, da spedire a una cassetta postale a Kiev o Caracas, non sapremmo nulla. Salvo l'uso di tecniche piuttosto sofisticate, il registro delle transazioni dei bitcoin è pubblico. Quello delle banconote o dei bonifici no.

Certo, i bitcoin facilitano le transazioni di tutti i generi, comprese quelle criminose. Ma lo stesso si può dire dei bonifici e delle carte di credito (si possono aprire conti correnti anonimi e avere carte di credito anonime -- lo so perché per lavoro l'ho visto fare). Vietiamo anche quelli, allora? No, certo: perché paralizzeremmo il commercio regolare.

La soluzione al problema non è vietare lo strumento di pagamento, ma a) tracciare i criminali. Questo, finora, non è stato fatto perché richiede un lavoro di polizia ingente. Magari ora vedremo un po' di solerzia in più e collaborazione internazionale.

Ed è anche b) avere finanziamenti governativi per la ricerca sul malware c) non avere governi che fabbricano armi informatiche offensive, ma governi che fabbricano difese informatiche migliori per i propri cittadini d) dare incentivi economici e obblighi legali agli aggiornamenti.

Prova a mettere in galera per omicidio colposo qualche dirigente di clinica che ha tagliato il budget per l'informatica e così ha fatto morire qualche paziente, e vedrai che correranno tutti a patchare. E con questo il ransomware avrà meno ossigeno per respirare.
Aggiungo e) aumentare i premi assicurativi alle aziende che usano software obsoleto invece di patcharlo f) obbligare le aziende che fanno software a fornire supporto per i nuovi sistemi operativi oppure rilasciare il codice sorgente e i diritti d'uso (in modo che altri possano creare nuove versioni compatibili con i sistemi correnti).
nel catalog update microsoft ci sono gli aggiornamenti anche per xp... io non uso xp in rete ma alcuni miei amici sì... per cui sto passando il link del tuo articolo e quello degli aggiornamenti... e ancora una volta Apple aveva ragione a opporsi all'FBI...
Domanda per esperti: ho diverse macchine Windows che non accendo da mesi per motivi vari, il principale è che alcune sono in dual boot con Ubuntu. Come faccio ad evitare che nel breve tempo prima di aggiornare succeda il peggio?
Paolo, qualche tempo fa era apparsa una foto di uno dei laptop sulla ISS, che visibilmente riportava WindowsXP come SO. Puoi confermare come esperto NASA se da allora è cambiato qualcosa. Usano Linux adesso lassù no?
Scusate, sono andato a disattivare SMB ma non l'ho trovato... in italiano ha un altro nome?
Premetto che non ho la minima idea di come funzioni l'economia basata sui bitcoin, pero' vorrei fare qualche commento e domanda a margine delle spiegazioni di Paolo.

E' vero che la tracciabiita; dei bitcoin e' complicata ma piu' semplice delle banconote. Pero' queste ultime hanno il difettuccio di essere materiali quindi di dover essere portate di persona. Immaginate un ransoware che dica "se vuoi sbloccare i dati, porta 300 euro in banconote con numeri non sequenziali alle 11 di stasera a via Broletto 34".
Le banconote e i bitcoin costituiscono una ricchezza in quanto convertibili in beni o servizi. Se si imponesse il divieto di convertire i bitcoin in moneta sonante, diventerebbero inutili. Renderli illegali insomma, nel giro di pochi minuti con ordine immediato a livello mondiale a tutte le aziende che li accettano come pagamento.
E qui la mia domanda da ignorante: dato che si conoscono i wallet che ricevono il riscatto, non e' possibile che il gestore/creatore o quel che e' blocchi i wallet?
"visto e considerato che i bitcoins vengono usati di preferenza per giri illegali, vista la loro difficile tracciabilità, non sarebbe il caso di regolamentarne duramente l'uso?"
"Nobile idea, ma in che modo?"

Colpendo chiunque:
1. trasformi un pagamento da carta di credito in bitcoins (tipo tutti quelli su https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version))

2. accetti pubblicamente pagamenti in bitcoins e/o li ritrasformi in moneta anche se con commissioni

Se li rendi impossibile da acquistare e difficili da spendere, li renderesti inutili.

Che ne pensi?
@Lanf

Ciao, sì sono daccordo sulla funzione SMB, ma quando installo Anniversary update e seguenti (CU) il problema si verifica sia con SMB abilitato che senza :-(

> visto e considerato che i bitcoins vengono usati di preferenza per giri illegali
anche se il 99,99% della gente che usa bitcoin non fà giri illegali?

> Io comincerei a vietarne l'uso ovunque possibile, a cominciare dal pagamento di riscatti.
Bitcoin è una cryptomoneta, banni quella e i ransomware ne useranno un'altra. Le banniamo tutte? E se i ransomware chiedessero codici di buoni Amazon?
I ransomware usano domini Tor/.onion per il controllo, vietiamo anche Tor?

> f) obbligare le aziende che fanno software a fornire supporto per i nuovi sistemi operativi oppure rilasciare il codice sorgente e i diritti d'uso (in modo che altri possano creare nuove versioni compatibili con i sistemi correnti).
Più che altro vedrei la necessità di stilare una sorta di linee guida di validità (e relativa certificazione per promozione) per hw/sw destinati a aziende sensibili come PA, ospedali etc.
C'è un grosso sbaglio di architettura in molti casi. Una macchina per radiografie che non funziona per colpa di un effetto collaterale di un problema su un componente che NON gli serviva.
Se ci pensi erano più sensati alcune realtà pre-XP, tipo AS400 con thin-client, ove l'OS in mano agli utenti è patchabile/resettabile indipendentemente dalla noncuranza dell'utilizzatore.
@giorgio salati e coloro a cui avevo posto la domanda
Ho trovato. Impostazioni > campo di ricerca, scrivi "funzionalità"
Tra le risposte c'è "Attiva o disattiva funzionalità di Windows". Togli la spunta "Supporto per condivisione file SMB/1.0 CIFS"

(Windows 10)
@ Brazov: io andrei in rete con Ubuntu, scaricherei su di una chiavetta USB le patch necessarie per le tue versioni di windows,
poi staccherei la connessione e avvierei ogni PC con windows per installare manualmente le patch.
Al riavvio dovrebbero essere tutti protetti.
Sintetica guida della Polizia di Stato che spiega cosa fare per proteggere i propri sistemi:
http://www.poliziadistato.it/articolo/38591867b4ec5fd518737032/
La patch KB4012598 scaricata da "catalog.update.microsoft.com"
ha il checksum md5 diverso dalla stesso file ma scaricato dal support.microzzz della stessa azzienda. :-D

Sarebbe ora anche per loro di convertirsi ad un sistema operativo
unix-like. I comandi testuali sono assolutamente necessari.



Se li rendi impossibile da acquistare e difficili da spendere, li renderesti inutili.

Forse per chi è onesto. Per chi non lo è si creerebbe (ma forse esista già) un mercato nero che trasforma denaro in bitcoin con una "trattenuta" e poi lo ritrasforma in denaro da qualche altra parte del mondo (paradiso fiscale, ad esempio).
La società di sicurezza informatica Malwaretech?
Sei sicuro?
Il Guardian parla di un "UK cybersecurity researcher" che twitta con l'account @Malwaretech.
dalle notizie ANSIA :

Attacco Stoccato ANSIA

[quote]
"Abbiamo visto vulnerabilità stoccate dalla Cia che sono finite su WikiLeaks e adesso questa vulnerabilità rubata alla Nsa ha colpito clienti in tutto il mondo"[/quote]

Nun se po proprio legge,
Paolo fa qualcosa...
Molti a dar ela colpa ai bitcoin e alle altre, circa, 600 criptomonete esistenti. Ma come è stato detto un pensierino a chi impedisce l'aggionnamento dei computer, no? Ed aggiornare windows non è questione di costi, essendo gratuito, è paranoia de "non metti nulla che io non voglia" stile "apple".
Ma a questo punto che senso ha usare dei sistemi operativi come windows se, di fatto, non si possono usare? Non mi riferisco ai computer legati a strumenti (per quanto...), ma ad esempio a quelli che oltre a word ed excell non usano.
Risposta: assenza di alternative.

Dove lavoro i pc sono blindati (manco il salvaschermo posso scegliere!), quindi: non posso aggiornare flash (che i ssiti di molte aziende usano); non posso aggiornare adobe, non posso aggiornare molti software e così via. Capisco il non poter installare qualsiasi cosa voglia, però impedire di effettuare qualsiasi tipo di aggiornamento (gratuito)...
Di contro almeno è stato installato da tempo su ogni pc kaspersky.
Pablo,

ho finalmente avuto tempo di controlloare e in effetti Malwaretech non è una società: è il nickname di una persona che lavora per una società informatica statunitense ma vive nel Regno Unito. So chi è e come si chiama la società, ma siccome Malwaretech ora è assediato e ha chiesto il rispetto della sua privacy (anche per evitare vendette), non pubblico altre info.

Grazie della correzione.
@ST
Dove lavoro i pc sono blindati (manco il salvaschermo posso scegliere!), quindi: non posso aggiornare flash (che i ssiti di molte aziende usano); non posso aggiornare adobe, non posso aggiornare molti software e così via.

Forse, se sei così blindato, i malware non avrebbero vita facile in un ambiente come il tuo. Comunque, possibile che non esista un sistema per centralizzare gli aggiornamenti?
"Chessò", un server, gestito da un amministratore che sa quello che fa, che si occupa di aggiornare tutti i pc.

Non esiste qualcosa del genere?
@ST, per chi usa solo wordprocessor e foglio di calcolo , posta elettronica e navigazione internet,l'alternativa esiste eccome, un PC con una distro linux...
"Ma come è stato detto un pensierino a chi impedisce l'aggionnamento dei computer, no? Ed aggiornare windows non è questione di costi, essendo gratuito, è paranoia de "non metti nulla che io non voglia" stile "apple". "

Non è così semplice. Ti porto un caso reale: una cara amica (e parente) senza lavoro e con risorse *molto* limitate aveva bisogno di un computer. Le ho regalato un mio vecchio, ma ancora potente Dell che avevo tra l'altro migliorato (disco da 1TB, schermo e tastiera nuovi. Problema: non accetta alcuna versione di Windows oltre la XP.

In Italia magari questa situazione è rara, ma in molti paesi è molto diffusa.

E' come dire obblighiamo tutti a cambiare la macchina se vecchia perché inquina e pericolosa!!! Giustissimo!... ma se quella macchina è l'unica possibilità per lavorare, ovvero per tirare fuori una famiglia dalla povertà totale - cosa molto diffusa nel Terzo e Quarto mondo, non è come dirlo in Italia.

Ricordiamocelo. Il mondo reale non è tutto come il nostro.
Io lavoro e ho lavorato per molti anni in aziende elettroniche aziendali di medie/grandi dimensioni e vorrei dire che le problematiche di sicurezza informatica sono ben diverse da quello di un PC personale o di una piccola azienda con una decina di PC.
Innanzi tutto la sicurezza non e' gratuita; può' essere gratuito scaricare un file di aggiornamento ma l'infrastruttura per gestire gli aggiornamenti e' composta da persone esperte che spendono tempo e che vengono retribuite. Costi ripeto necessari ma che comunque esistono.
Per un'azienda il ransomware e' solo uno dei possibili attacchi; altrettanto pericoloso e' lo spionaggio industriale o il furto di dati; avere chiavette o dispositivi USB con back-up non criptati in luoghi non sicuri non e' proprio il massimo. Anzi non e' infrequente trovare aziende che bloccano l'accesso a porte USB proprio perché' possono essere strumenti per introdurre virus o per rubare dati.
Se si devono gestire centinaia di PC non e' possibile lasciare al singolo dipendente l'aggiornamento SW (su di un grande numero e' quasi certo trovarne uno che di tanto si dimentica o non si accorge che l'update e' fallito).
Anche l'idea di propagare sempre ed immediatamente tutti gli aggiornamenti non e' il massimo; il gruppo di IT deve valutare il contenuto degli aggiornamenti, lo stato dei vari Virus alert che circolano ed in base a quello decidere la priorità' in cui l'aggiornamento deve essere fatto. Se non ci sono particolari criticità' e' anche possibile che questo passi attraverso una staging area, ossia provato su un numero ristretto di computer per accertarsi che non causi incompatibilita' con altri programmi ( trovarsi un applicativo inutilizzabile e dover retrocedere il sistema operativo può' avere anche un costo non indifferente per l'azienda).
Da non ultimo l'IT ha il compito di "raise the awareness" ossia rendere consapevoli tutti i dipendenti dei rischi e dei comportamenti da tenere (segnalare mail sospette, evitare siti non sicuri e quant'altro). La regola d'oro e' in caso di attività' sospetta avvertire immediatamente ed in nessun caso tentare il "fai-da-te".
Nessuno dei siti Internet che visito per motivi professionali utilizza Adobe Flash Player o similari; per quanto riguarda l'uso personale di Internet ovviamente lo limito al massimo sul lavoro ed esclusivamente su pochi siti affidabili.
Come si dice spesso il miglior system administrator e' quello che non si fa vedere perché' fa funzionare la rete in maniera regolare...
Poi è chiaro che se questo accade in una grande azienda chi non ha fatto il suo lavoro di IT è colpevole di negligenza. Ma non esistono solo le grandi aziende che si possono permettere il supporto IT. Esistono anche quelle familiari, con risorse tecniche ed economiche limitate. Esiste anche il caso di aziende medie o grandi, ma in grave crisi finanziaria, in cui si rischia per evitare magari di chiudere.

La colpa è in parte della vittima, in molti casi. Ma la vittima resta la vittima. Non va scambiata per il carnefice. Qui stiamo parlando di danni gravi ad infrastrutture che salvano vite umane e che hanno problemi di bilancio enormi, vedi NHS. Colpa loro perché non hanno cacciato diversi milioni per aggiornare un sistema informatico che - ricordiamolo - magari richiedeva un totale ricambio di hardware e software? Attenzione, perché io ho visto montagne di sistemi che se vuoi aggiornare devi buttare via tutto e ricominciare daccapo.

E' tipico delle università e dei centri di ricerca: hai una scheda di acquisizione costruita negli anni '80. Se vuoi cambiarla devi cambiare computer, software, interfacce, etc. In alternativa devi buttare a mare un intero esperimento che forniva dati interessantissimi. Allora si rischia....
@Koboz
MS ha un ottimo CLI, powershell é estremamente potente e di permette di installare/rimuovere programmi e/o funzionalità di windows da linea di comando.
Ma anche il "semplice" dos permette di gestire migliaia di pc/server da linea di comando.
Grazie per l'articolo, molto chiaro e delucidatore. Modificherei un po' il tono perché tutti quei "ve la siete cercata" sono un po' fuori luogo come sarebbe dire "te la sei cercata" ad una donna che é appena stata borseggiata. Il criminale é il solo che opera il danno, nulla si può ascrivere a chi lo subisce. Immagino mio padre, settantenne, che é già tanto se usa il PC da utente ultra basico e non ha idea di aggiornamenti vari perché formatosi su un commodore vic-20. Chissà quanti ce ne sono in giro così. Irriderli, seppure in un articolo che ben spiega come correre ai ripari, é qualcosa di cui hai bisogno davvero, Paolo? Scommetto di no. E allora, usa il garbo di cui tutti ti sappiamo capace. Grazie ancora.
@Martinobri.
Scusa, hai perfettamente ragione per quanto riguarda il singolo privato. Errore mio a non averlo scritto, mi riferivo ad aziende ed enti pubblici.

Leggo oggi (a proposito di bit coin, fake news e quant'altro):
Su Metro di oggi:"Waanacry assalta i cinesi. Il ransomware attacca [...] Mentre la valutazione del bitcoin schizza a 1700 dollari"
Di seguito il valore del bitcoin degli ultimi giorni:
9 maggio: 1696$
11 maggio: 1793$
13 maggio: 1679$
14 maggio: 1708$
16 maggio: 1644$

Non mi sembra che sia schizzato... è sì salito, ma come molte altre criptomonete. Il dogecoin in una settimana è passato da 0.0004$ a 0.0012$, l'ethereum in pochi giorni da 45 a 100$ il peerunity da 0.86 a 2.5$ in un paio di settimane (tutte valutazioni risalenti, queste ultime, a 10 giorni fa)
Se i truffatori chiedono buoni Amazon sono ampiamente bloccabili e molto piu tracciabili dei bitcoin. Smettiamo di nasconderci dietro un dito, i bitcoin si usano soprattutto per transazioni illegali. Ci sono limiti sull'uso dei contanti, mettiamoli sui bitcoin. Vuoi cambiare da o in bitcoin? Devi giustificare l'operazione con documenti​ "fiscali".

Non è difficilissimo, basta volerlo fare.
Ehm... L'obbligo di cambiare auto perché inquina c'è.

Ma se avete un PC vecchio, metteteci Linux, a meno di necessità particolari può sostituire egregiamente XP.
Non ho ancora capito come funzionano questi bitcoin e come si convertono da/in soldi normali. Insomma, una volta che i criminali hanno incassato i lauti guadagni di questi ricatti, come fanno a riciclarli?
non so se sia una cosa comune, ma Windows Update ha dei problemi (da W7 in poi mi pare, su W8 sicuro) a verificare gli aggiornamenti disponibili. Ne' le soluzioni software proposte da MS sembrano risolverli.
Concordo che sia un dovere cercare di essere "vaccinati" al passo dei tempi, ma se il vaccino non e' disponibile c'e' poco da rinfacciare poi.

Teo
Paolo, in "Come si diffonde l'attacco" scrivi "condivisioni di rete SMB (Samba)", ma SMB e Samba sono cose diverse. Il primo è il protocollo (quindi dire condivisioni SMB è corretto), il secondo è il progetto free che implementa (anche) quel protocollo, che poco o niente ha a che vedere col Microsoft (e infatti non era vulnerabile :-)
Segnalo una imprecisione. Le patch radunata qui (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598) non sono TUTTE. Immagino siano quelle per i sistemi obsoleti che non sono aggiornati in altro modo. Non c'è Windows 7, non c'è Windows 10. In pratica non è un link molto utile per chi ha un sistema più o meno nuovo e ha il dubbio di avere o meno la patch.
@Il Lupo della Luna
Ci sono limiti sull'uso dei contanti, mettiamoli sui bitcoin. Vuoi cambiare da o in bitcoin? Devi giustificare l'operazione con documenti​ "fiscali".

Davvero? E da quando è un problema il limite dei contanti? Se devo fare nero che problema ho a pagare o ricevere contanti per cifre superiori ai tremila Euro? :-)

Lo stesso vale per i bitcoin: chi è onesto acquista i bitcoin, o qualsiasi altra moneta, mediante transazioni tracciabili.

Ma chi è disonesto mi spieghi come lo obbligheresti a emettere fattura? :-)
Punteruolo,

hai ragione: errore stupido da parte mia. Ho corretto, grazie!
Capitano Bright,

Modificherei un po' il tono perché tutti quei "ve la siete cercata" sono un po' fuori luogo come sarebbe dire "te la sei cercata" ad una donna che é appena stata borseggiata.

Il paragone è sbagliato. Dovresti dire "a una donna che, dopo essere stata ripetutamente e lungamente avvisata di non farlo da tutte le persone e da tutte le autorità, e dopo che le era stato offerto gratuitamente un sistema antiborseggiamento, l'ha rifiutato ed è andata in giro con la borsetta spalancata e con i gioielli in bella mostra".

Ho notato che la stragrande maggioranza dei pc "pubblici" (per esempio in stazioni o aeroporti )infettati sono embedded.
Di sicuro con filtro EWF, in quei casi basta riavviare.
Lupo della Luna: "Ehm... L'obbligo di cambiare auto perché inquina c'è. Ma se avete un PC vecchio, metteteci Linux, a meno di necessità particolari può sostituire egregiamente XP."

L'errore qui è quello tipico di credere che siccome per noi funziona così, allora funziona così per tutto il mondo.

(1) in gran parte dei paesi in via di sviluppo l'inquinamento ambientale viene molto dopo il problema di sopravvivere. Quindi le macchine vecchie non sono vietate. Piaccia o non piaccia.
(2) la realtà è che una moltitudine di persone non ha gli skills richiesti per installare/aggiornare/impiegare sistemi come Linux. Una gran quantità di persone impara windows al lavoro come fosse un black box. Se gli chiedi "che browser" usa non ti sa rispondere per esempio, perché ha sempre dato per scontato che "explorer" sia internet. A queste persone si può fare la morale, ma non so a che pro. La realtà è che usare un computer è molto più complesso, comunque, del guidare una macchina. Perché richiede una quantità di conoscenze infinitamente superiore e perché, trattandosi di sistemi molto complessi, i modi in cui può funzionare male sono infinitamente di più.

Facciamocene una ragione una buona volta: il mondo non è tutto come "noi".
Pgc chi se ne frega se è così solo da noi, permettimi, se una cosa è sensata in un ambito lo sarà anche in altri (parliamo di cifre molto diverse anche in termini economici). Con 50 euro puoi avere un PC. In Paesi dove 50 euro sono lo stipendio di un anno semplicemente ci saranno meno PC.
@pgc

Manca un dettaglio al tuo esempio. La tua amica e parente versa in condizioni not-ottimali. Ma senza volerti fare i conti in tasca, pensavo... Un pc o un metacomputer, il secondo da sinistra sullo scaffale del supermercato, non è neanche un acquisto importante, per "noi" che nuotiamo nella droga.
Lupo,

fregartene dei problemi degli altri è un tuo diritto, ma il mondo continuerà ad essere quello che è.

Assumere che tutti decidano di spendere per un'auto Euro 5 (Euro, da "Europa" btw) quando quella che hanno funziona bene e non hanno risorse per farlo , oppure che tutti sappiano installare Linux come sappiamo fare noi (sebbene con qualche difficoltà, a volte) è poco utile. Soprattutto quando questo, a causa di comportamenti di massa, può risultare in gravi danni all'economia o alla salute.

Non sarebbe meglio affrontare il problema identificando policy che siano in grado di affrontare il problema considerando anche i problemi REALI delle persone?

Penso sarebbe meglio. Allora, cominciamo per esempio dal chiederci se proprio non c'è alcun modo di controllare le transazioni in bitcoin od altri asset digitali. Non è possibile che un'accolita di delinquenti abbia addirittura un "Customer Service" (come raccontato recentemente da Paolo) e continui a raccogliere ingenti introiti all'insegna del "tanto non c'è niente da fare"...
Chi vuol aiutare chichessia ad uscire dalla merda, deve dimenticarsi che esistono robacce tipo trump o clinton.

@teo il problema con windows update che non trova gli aggiornamenti è dovuto al fatto che per lungo tempo win7 non è stato aggiornato, quando poi ci provi non ci riesci...a me in ufficio è capitato con un laptop che non è mai in sede e che quindi riesco ad avere a disposizione solo ogni tanto....esiste un sistema comunque che risolve, tra i tanti che trovi in rete...non ricordo bene come ma si risolve...
Caro Paolo, mi dicevi:
"Il paragone è sbagliato. Dovresti dire "a una donna che, dopo essere stata ripetutamente e lungamente avvisata di non farlo da tutte le persone e da tutte le autorità, e dopo che le era stato offerto gratuitamente un sistema antiborseggiamento, l'ha rifiutato ed è andata in giro con la borsetta spalancata e con i gioielli in bella mostra".

No, guarda, nessuno ha messo i "gioielli" che ha nel PC in bella mostra, wannacry non va alla ricerca di gioielli, colpisce sia la donna con gioielli che saprebbe usare il sistema antiborseggio che la vecchietta che non sa cosa sia l'accredito della pensione, va alla posta, preleva i contanti e li tiene in borsa. Non credo sia giusto bastonare le vittime per essersi trovate nello scomodo ruolo di vittime, perché non tutti sono scafati come te col PC, nondimeno non sono per questo colpevoli della loro condizione di vittime.
Vedila così: i tuoi articoli possono aiutare ad educare questi "incauti" che diventano vittime. Magari potrebbe renderli più attenti. Ma se l'articolo che dovrebbe educare queste "vittime per loro imperizia" dice a queste vittime ad ogni capoverso che se lo sono meritato, che sono anche loro i colpevoli e non quei criminali (veri) che hanno ordito tutto, beh, sai come va a finire? Che al terzo insulto smettono di leggere l'articolo, oppure lo leggono stavolta che hanno bisogno ma poi ti eviteranno. E tu non avrai rieducato nessuno di quelli che avresti potuto rendere meno "vittime della loro imperizia"
E tutto questo perché? Per non usare un tono più conciliante con qualcuno che ha già le palle girate perché danneggiato di recente?
Suvvia, Paolo! Mica i tuoi articoli perdono d'efficacia, se eviti di far sentire chi é già nei guai anche un perfetto idiota! O no?
Non vedo Windows Millennium Edition tra i sistemi a rischio... sono al sicuro?
:-D
Bright,

No, guarda, nessuno ha messo i "gioielli" che ha nel PC in bella mostra

Non direi. Wannacry colpisce da remoto solo se hai la porta 445 (SMB) aperta verso Internet e su una vecchia versione di Windows non patchata. Esporre la porta SMB è proprio mettere i gioielli in mostra.


Non credo sia giusto bastonare le vittime per essersi trovate nello scomodo ruolo di vittime, perché non tutti sono scafati come te col PC

Qui non è questione di essere scafati. Microsoft ti fornisce gli aggiornamenti: per non installarli devi decidere di rifiutarli e ignorare ripetuti inviti a installarli. Quindi le vittime sono persone che hanno deciso di saperne di più di Microsoft e hanno rifiutato gli aggiornamenti.


se l'articolo che dovrebbe educare queste "vittime per loro imperizia" dice a queste vittime ad ogni capoverso che se lo sono meritato, che sono anche loro i colpevoli e non quei criminali (veri) che hanno ordito tutto, beh, sai come va a finire? Che al terzo insulto smettono di leggere l'articolo

Sai quante volte ho fatto in passato quello che dici? Tante. E come me l'hanno fatto in tanti. Insistere educatamente davanti al fighetto che ha letto su WhatsApp che gli aggiornamenti fanno male e quindi ti ride in faccia. O davanti all'utente che dice "ma io non ho voglia e non ho tempo di leggere gli avvisi che compaiono sullo schermo e li chiudo" e poi passa due ore a mettersi lo smalto sulle unghie o a discutere su Facebook leggendo le cazzate dei complottisti o le pagine di gossip.

No, mi spiace. Ne ho piene le tasche dei saputelli, dei dirigenti che ti dicono "ma tanto il software aggiornato non serve", dei contabili che dicono "ma ci costa ore-uomo per niente". Sono stati avvisati, hanno ignorato gli avvisi; se la sono cercata.

Non pretendo che tu condivida il mio atteggiamento: ma considera che i toni del mio articolo fanno anche da supporto morale ai tanti sistemisti che hanno capi sordi e ottusi e che adesso, con l'azienda schiantata, andranno da quei capi a dire loro "te l'avevo detto". E lo faranno, magari, citando questo articolo per dire "vedi che non è una mia teoria: l'ha detto anche Paolo e con lui l'hanno detto mille altri".
Resto dell'idea che un tono più pacato ti favorirebbe nel convincere gli inetti, come quello che usavi in passato per discutere di ben altre bestialità (scie chimiche, falso allunaggio, cospirazioni dell'11 settembre...).
E, secondo me beninteso, cedere alla rottura delle tasche deviando dal giusto tono neutro di "chi sa e può spiegarti, se vuoi ascoltare, sennò arrangiati" toglie forza al tuo discorso. Qualsiasi discorso.
Ma é il tuo blog...
6. Disabilitate SMB 1.0 come descritto qui.

Qui spiega passo passo la disabilitazione da Windows Vista a Windows 10.

7. Controllate di non avere condivisioni SMB aperte che si affacciano a Internet, incluse quelle su VPN.

Come si fa a controllare da Windows Vista a Windows 10?
@GioTrike

io ne ho provati 3 di metodi per risolverlo, e non ho risolto. Quindi confido nell'AV e nelle mie abitudini di navigatore accorto.
E cmq siamo da capo: se io per essere al sicuro devo affidarmi ad un sistema di protezione che fa tutto da solo in automatico (perche' cosi' mi viene consigliato di fare) e poi quel sistema semplicemente non fa nulla (e non ti dice che non ha fatto nulla perche' e' impantanato! :-), la colpa della scarsa protezione di chi e'? Almeno c'e' un "complice" importante, diciamo! :-)
Certo investendo un po' di tempo in rete si trovano possibili (non garrantite) soluzioni alternative, ma quelle che ho letto io sono veramente oltre l'orizzonte raggiungibile dall'utente base, medio e forse anche qualcosa di piu'.

la cosa che mi incuriosisce e' quanti di quelli che non hanno W aggiornato lo fanno per scelta (consapevole o pigra) e quanti invece credono di averlo fatto ma non sanno che non e' cosi'... almeno fino a quando non e' troppo tardi.

Teo
Paolo,

Capisco il tuo atteggiamento nei confronti di che se l'e' cercata avendo avuto la possibilita' di pararsi il didietro senza averlo fatto. Ma io vorrei rimandarti al mio commento in "Addio Windows Vista" in cui facevo notare che il vecchio laptop con Windows Vista non scaricava piu' gli aggiornamenti da agosto 2016. Avevo provato vari software di terze parti che riuscivano a scaricare ma non ad installare gli aggiornamenti. Per la mia sicurezza facevo spesso il backup ma non tutti i giorni. Ricordo nella fattispece che l'economia domestica aveva messo un nuovo PC in fondo alla lista.

Per rimanere sull'esempio della signorina con la borsetta, MS me la teneva aperta impedendomi di chiuderla.

Una serie di eventi (moglie riceve un bonus inatteso, thanks Petronas - moglie annega il laptop di lavoro - prossimo laptop le sara' dato in settembre - decide di usare al lavoro, nella rete aziendale il nostro vecchio Toshiba) ha fatto si' che lo scorso mercoledi' ci siamo comprati il nuovo HP com W10 immediatamente autoaggiornatosi.

Impossibile dire se mi sarebbe successo, ma nel caso non credo che avrei accettato il giudizio "te la sei cercata".
[quote] [...]toni del mio articolo fanno anche da supporto morale ai tanti sistemisti che hanno capi sordi e ottusi e che adesso, con l'azienda schiantata, andranno da quei capi a dire loro "te l'avevo detto".[...] [/quote]

Ahhhh... Concordo. Ogni tanto è bello avere del supporto morale. In tutti i posti dove sono stato il motto era "mai prevenire, meglio curare".
Si, in tanti se la cercano.
Non pretendo che tu condivida il mio atteggiamento: ma considera che i toni del mio articolo fanno anche da supporto morale ai tanti sistemisti che hanno capi sordi e ottusi e che adesso, con l'azienda schiantata, andranno da quei capi a dire loro "te l'avevo detto". E lo faranno, magari, citando questo articolo per dire "vedi che non è una mia teoria: l'ha detto anche Paolo e con lui l'hanno detto mille altri".

Esatto. Il mio responsabile che capisce solo di AS400 (cioè non capisce un cazzo) continua a ripetermi che basta stare attenti e non si prendono virus. E siamo un'azienda che ha in giro per il mondo circa 3000 computer (principalmente casse fiscali) che vanno da Windows 98 a salire, Windows 7 sono riuscito a convincerlo ad usarlo circa un anno fa, 10 magari tra un altro paio. Siamo già stati vittime di un attacco Cryptolocker a marzo 2016 che ho bloccato a fatica grazie a backup criptati, pulizie e formattazioni a mano durate oltre 2 mesi e altre cose che non voglio ricordare, e lui alla mia richiesta di installare un server WSUS dopo questo attacco, giusto per la protezione minima, mi dice che costa troppo tempo e non si fida di aggiornare in automatico. Ok.
Su alcune versioni di 7 ci sono problemi con Windows update. Cercando su Google "Windows update non funziona Win 7" si trova immediatamente il Fox da scaricare.

Vista è al termine del ciclo di vita e sarebbe bene aggiornarlo
i toni del mio articolo fanno anche da supporto morale ai tanti sistemisti che hanno capi sordi e ottusi e che adesso, con l'azienda schiantata, andranno da quei capi a dire loro "te l'avevo detto". E lo faranno, magari, citando questo articolo per dire "vedi che non è una mia teoria: l'ha detto anche Paolo e con lui l'hanno detto mille altri".

Ingenuo, ne devi mangiare ancora di pasta se pensi questo! :-D

Un sistemista che si mettesse a dire una cosa del genere rischierebbe il licenziamento.

Chi pensi che sia il capro espiatorio in questi casi? Ma il sistemista naturalmente il quale, nonostante abbia avvisato dei pericoli (magari per PEC) e sia stato bloccato dai superiori per mancanza di fondi (o perché il pericolo non è percepito, o, ancora, perché il sistemista è sempre considerato paranoico, ecc.), è ritenuto comunque il responsabile perché, se c'è stato l'attacco, sicuramente non ha fatto tutto il necessario (cioè, l'impossibile) per tutelare l'azienda.

Tieni presente che i manager quasi sempre sanno solo di budget, di bilanci e di soldi. Nonostante ciò mettono bocca e giudicano l'operato di chiunque, da quello dell'ingegnere aerospaziale a quello dell'addetto alle carriole. Tutte cose di cui non sanno nulla.

I manager fanno discorsi del tipo "abbiamo una vecchia cinquecento e quattro elefanti da trasportare, allora chiamiamo l'autista e gli ordiniamo di metterne due sui sedili davanti e due dietro." L'eventuale risposta del tipo "non si può fare" da parte dell'autista è interpretata come rifiuto o mancanza di professionalità.

Questo vale per ogni ruolo dell'azienda: ciò che comporta costi ma, apparentemente, non è strettamente necessario non si adotta.
Che si tratti di aggiornamenti software, di semplice sostituzione di una lampadina (perché cambiarla, nel corridoio ce ne sono tante!), di un sensore dell'antifurto (tanto ci sono gli altri e il ladro non può sapere che è guasto), loro traducono tutto in spese (inutili) e mai (o quasi) in miglioramento dell'efficienza.

Lo so, lo so, "a Svizzera" sono tutti più seri ma, almeno nei posti che "frequento" io le cose stanno come ho descritto :-)
@Lupo:

anche W8 e W10 hanno lo stesso problema.
Sarebbe bello sapere quanti siano "alcuni", non vorrei fossero troppi.
"I manager fanno discorsi del tipo "abbiamo una vecchia cinquecento e quattro elefanti da trasportare, allora chiamiamo l'autista e gli ordiniamo di metterne due sui sedili davanti e due dietro." L'eventuale risposta del tipo "non si può fare" da parte dell'autista è interpretata come rifiuto o mancanza di professionalità."

Casomai dovrebbero essere uno davanti e tre dietro altrimenti messa così significherebbe che non serve l'autista e guida direttamente un elefante. Ovviamente si scherza, ma ho trovato divertente notare che fosse una situazione ancora più tragica di come l'avessi pensata! :D


Tornando seri, qualcuno ha idea di come facciano questi ricattatori a riciclare i guadagni ottenuti in bitcoin? Non voglio imparare a fare anch'io attività illegali eh, ma trovare questa risposta può essere utile per le indagini e istruttivo per difendersi dalle truffe, no?
Mars,

qualcuno ha idea di come facciano questi ricattatori a riciclare i guadagni ottenuti in bitcoin?

Sì. Banche compiacenti, casinò, provider di carte di credito anonime, riciclatori inconsapevoli, fornitori di servizi "paralegali"... la lista è lunga. Ma nel caso di Wannacry credo che nessuno vorrà toccare quel wallet, visto che avrà alle calcagna non solo l'NSA ma anche i servizi russi e cinesi :-)
Io ho visto tanti computer con Windows 7 oppure 8 che non riuscivano più a fare gli aggiornamenti, e il Fix mi ha funzionato poche volte. Quello che di solito funziona è il programma Wsus Offline Updater: dovrebbe servire a passare gli aggiornamenti senza connettere il PC, ma ha anche il risultato secondario di ripristinare perfettamente l'aggiornamento automatico. Questo per Windows 7 e Windows 8. L'unica volta che mi è successo con Windows 10 ho scoperto che Wsus Offline non era compatibile anche con questo sistema operativo, e ho finito per formattare. Ora ho visto che l'ultima versione di Wsus prevede anche Windows 10, ma non l'ho mai sperimentata.
Si può dire che Wannacry abbia avuto un "successo" non previsto nemmeno dai suoi realizzatori?

@Mars4ever
Casomai dovrebbero essere uno davanti e tre dietro altrimenti messa così significherebbe che non serve l'autista e guida direttamente un elefante. Ovviamente si scherza, ma ho trovato divertente notare che fosse una situazione ancora più tragica di come l'avessi pensata! :D

Già. :-D

Me ne sono reso conto dopo aver inviato il commento ma non ho voluto eliminarlo perché ho immaginato il manager che, davanti all'obiezione dell'autista su come "sistemare" gli elefanti, gli suggerisca di far guidare uno di loro così si guadagna spazio :-D
@Paolo
riciclatori inconsapevoli

Sono i cosiddetti "money mule", vero?
@Teo ho guardato cosa avevo fatto sul nostro pc per aggiornare win7, dopo diverse soluzioni non risolutive questa aveva funzionato.

http://download.wsusoffline.net/
Paolo,
il virus adylkuzz sfutta le stesse vulnerabilità sfruttate da WannaCry giusto?
Hai novità riguardanti quest ultima minaccia?
Voi non sapete la gente che prima di questa attacco mi chiedeva in continuazione "ma come faccio a bloccare gli aggiornamenti su Windows 10???". E non sapete i tool che si trovano su internet per farlo.
Posso capire che la gestione degli aggiornamenti può essere complessa in una grande azienda, ma un private che problemi tiene?!?
>ma un private che problemi tiene?!?

Connessione a consumo?
@GioTrike

grazie,
ho provato quel tool e fa il suo dovere, anche se in modo grossolano e senza molte possibilita' di controllo e selezione.
Meglio di niente cmq.

Teo