In questo documento sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi. È abbastanza evidente che laddove i dati siano stati già cifrati l’unica strategia possibile è il ripristino da una copia di backup non toccata dal malware. Nell’ultima sezione sono contenute alcune considerazioni su quanto fare per il ripristino in questi casi.
Protezione dalla compromissione
L’unica vera protezione dalla compromissione è l’eliminazione della vulnerabilità attraverso l’istallazione della patch sviluppata e pubblicata da Microsoft con il Microsoft Security Bulletin MS17-010-Critical:
- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Bollettino CERT-PA-B006-170315
- News CERT-PA: “Microsoft Security Response Center focus su exploit Shadow brokers”
È fondamentale tenere presente che se l’antivirus ha il vantaggio di poter “ripulire” una macchina compromessa, cosa che la sola istallazione della patch non può fare, d’altra parte la vulnerabilità non eliminata potrebbe essere sfruttata da una nuova versione del malware che sfugge al controllo dell’antivirus. Perciò è tassativa l’istallazione della patch.
Ulteriori misure atte a ridurre la probabilità di compromissione, e quindi l’estensione di questa, sono:
- Blocco del protocollo SMB sulla frontiera;
- Disattivazione del protocollo SMB ove non specificamente richiesto;
- Blocco sulla frontiera del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati, quali, ad esempio AlienVault, US-CERT e CERT-PA
- Abilitare il traffico http verso l’URL:
hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
hxxp://www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
in modo da attivare il “kill switch” presente in alcune versioni del malware e bloccare così la sua attività. - In alternativa al punto 4 è possibile redirigere tutto il traffico http diretto verso il web server in esso specificato verso un server fittizio che genera una risposta HTTP code 200 per qualsiasi richiesta in arrivo.
Riavvio delle macchine spente
Contemporaneamente l’accensione di una macchina compromessa può provocare la compromissione di tutti i sistemi presenti sulla stessa rete. Ne segue che è opportuno procedere all’accensione dei sistemi con particolare cautela.
La procedura che segue consente di ridurre sensibilmente i rischi legati alla riaccensione di un sistema spento senza richiedere particolari conoscenze tecniche, per cui può essere eseguita, almeno nel caso di reti wired, anche da utenti non particolarmente esperti:
- Prima di accendere la macchina scollegarla dalla rete locale, disconnettendo il cavo di rete (nel caso di connessioni Wi-Fi occorre disabilitarne l’interfaccia prima che avvenga il caricamento del sistema operativo, tale operazione può non essere alla portata dell’utente).
- Accendere la macchina scollegata e verificare che l’avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, quali ad esempio ritardi molto prolungati, comparsa di messaggi insoliti, etc., non procedere oltre nel riavvio e chiedere il supporto esperto.
- Se l’avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull’hard disk della macchina una ricerca per file il cui nome abbia l’estensione .wncry. La ricerca deve terminare senza individuare alcun file, se invece ne viene individuato qualcuno non procedere oltre nel riavvio e chiedere il supporto esperto.
- Se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni, in particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all’apertura della sessione.
- Ricollegare il sistema alla rete locale e forzare l’aggiornamento dell’antivirus. Attendere che tale operazione sia completata prima di aprire qualsiasi applicazione, in particolare non accedere in nessun modo a sistemi di posta elettronica. Dopo il suo termine il sistema può essere utilizzato normalmente.
Particolare attenzione deve essere posta nella gestione dei messaggi di posta elettronica, che potrebbero essere utilizzati come vettore primario di infezione laddove sulla frontiera fosse bloccato il protocollo SMB, come consigliato al punto 1 dell’elenco contenuto nella sezione precedente. In generale debbono essere scrupolosamente osservate le seguenti regole:
- Non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine.
- Non cliccare per nessuna ragione su link contenuti all’interno di mail di cui non sia assolutamente certa la provenienza, verificando direttamente con il mittente (e.g. telefonicamente) l’effettivo invio da parte sua del messaggio.
La sicurezza non è mai assoluta
Le indicazioni contenute nel presente documento sono essenzialmente regole di buon senso che riducono il rischio di compromissione da parte di WannaCry, ma non possono annullarlo, anche perché gli attaccanti individuano continuamente nuove strategie per aggirare le misure di contrasto messe a protezione dei sistemi.
Per altro l’accento è stato posto sulla semplicità di attuazione, piuttosto che sulla completezza della copertura dei casi che possono verificarsi.
La migliore protezione nei confronti degli eventi imprevisti, siano essi dolosi, colposi o casuali, è una copia di sicurezza dei dati aggiornata. Nel malaugurato caso che la cifratura dei dati sia già avvenuta, questa è la sola strada che permette il recupero delle informazioni, visto che anche l’eventuale pagamento del riscatto non garantisce l’effettivo ripristino dei file cifrati.
È opportuno, specie se non si è sicuri della completezza del contenuto della copia di sicurezza più aggiornata disponibile, generare una copia di sicurezza completa del sistema con i file cifrati prima di effettuare il ripristino. Oltre che per eventuali indagini, essa potrebbe tornare utile se, in un futuro più o meno prossimo, venisse scoperta la chiave di decodifica dei file cifrati.