WannaCry, le linee guida dell'Agid

Il ransomware WannaCry ha danneggiato negli ultimi due giorni centinaia di migliaia di computer di aziende. Anche se la diffusione dell’infezione è stata arginata, i problemi non sono ancora finiti del tutto, soprattutto per quei PC che ancora non sono stati aggiornati e che saranno accesi oggi, alla ripartenza dell’attività lavorativa. Proprio per questo l’Agenzia per l’Italia digitale ha pubblicato le linea guida per mitigare gli effetti dannosi e per la riaccensione delle macchine. Nel documento, sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi.

Anche se la propagazione è stata temporaneamente sospesa grazie ad un kill switch di un ricercatore britannico che ha individuato un artificio presente nel codice del malware, la situazione non può considerarsi risolta, in quanto è possibile manomettere lo stesso malware affinchè superi il check previsto dal kill-switch e torni a propagarsi come un worm. L’unica vera protezione dalla compromissione è l’eliminazione della vulnerabilità attraverso l’istallazione della patch sviluppata e pubblicata da Microsoft con il Microsoft Security Bulletin MS17-010-Critical. Protezione contro l’azione del malware si può ottenere attraverso l’antivirus, che deve essere aggiornato ad una versione successiva rispetto a quella pubblicata da ciascun produttore dopo il 12 maggio. È fondamentale tenere presente che se l’antivirus ha il vantaggio di poter “ripulire” una macchina compromessa, cosa che la sola istallazione della patch non può fare, d’altra parte la vulnerabilità non eliminata potrebbe essere sfruttata da una nuova versione del malware che sfugge al controllo dell’antivirus. Perciò è tassativa l’istallazione della patch.

Ulteriori misure atte a ridurre la probabilità di compromissione, e quindi l’estensione di questa, sono:

• Blocco del protocollo SMB sulla frontiera
• Disattivazione del protocollo SMB ove non specificamente richiesto
• Blocco sulla frontiera del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati, quali, ad esempio AlienVault e US-CERT

Riavviare i PC spenti

Le macchine che erano spente al momento della diffusione, per altro molto rapida, del malware e non sono state accese sono sicuramente indenni; vale perciò la pena di usare qualche accorgimento per evitare che la compromissione presente in altri sistemi possa estendersi anche ad esse.

Contemporaneamente l’accensione di una macchina compromessa può provocare la compromissione di tutti i sistemi presenti sulla stessa rete. Ne segue che è opportuno procedere all’accensione dei sistemi con particolare cautela.

Prima di accendere la macchina sarà necessario scollegarla dalla rete locale. Accendere la macchina scollegata e verificare che l’avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, quali ad esempio ritardi molto prolungati, comparsa di messaggi insoliti, non procedere oltre nel riavvio e chiedere il supporto esperto. Se l’avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull’hard disk della macchina una ricerca per file il cui nome abbia l’estensione .wncry. La ricerca deve terminare senza individuare alcun file, se invece ne viene individuato qualcuno non procedere oltre nel riavvio e chiedere il supporto esperto. Se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni, in particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all’apertura della sessione.

Ricollegare il sistema alla rete locale e forzare l’aggiornamento dell’antivirus. Attendere che tale operazione sia completata prima di aprire qualsiasi applicazione, in particolare non accedere in nessun modo a sistemi di posta elettronica. Dopo il suo termine il sistema può essere utilizzato normalmente.

Particolare attenzione deve essere posta nella gestione dei messaggi di posta elettronica, che potrebbero essere utilizzati come vettore primario di infezione. In generale debbono essere scrupolosamente osservate le seguenti regole: non aprire mail inattese o comunque di provenienza incerta; non cliccare per nessuna ragione su link contenuti all’interno di mail di cui non sia assolutamente certa la provenienza.