WanaCrypt0r / Wana Decrypt0r 2.0, il nuovo ransomware che utilizza un Exploit NSA

Un nuovo Ransomware noto con il nome di WanaCrypt0r si sta diffondendo molto velocemente grazie all’utilizzo di un exploit ETERNALBLUE scoperto e utilizzato dal NSA e reso pubblico recentemente da un gruppo di hacker chiamato The Shadow Brokers.
L’exploit utilizza una debolezza del protocollo SMB che permette l’esecuzione di codice da remoto, Microsoft ha gia rilasciato una patch (MS17-010) a marzo ma molte persone non eseguono regolamente update con la conseguenza di diventare bersagli facili.

 

Una volta insidiato nel computer il ransomware prepara il pc all’infezione cambiando i permessi di tutti i files in controllo completo e successivamente inizia a cryptare i file aggiungendo l’estensione .WNCRY ai files criptati e creando i files di istruzione in ogni singola cartella @Please_Read_Me@.txt, @WanaDecryptor@.exe
Quando il ransomware finisce di criptare i files cancella le shadow copy, disabilita il menu avanzato di ripristino (f8) e mostra le istruzioni per decriptare i files.

Al momento non esiste un modo per decriptare i files gratuitamente ma capita che il comando per cancellare le shadow copy non vada a buon fine perciò la prima cosa da verificare è la presenza di shadow copy utilizzando l’utility Shadow Copy Viewer. Effettuare inoltre una pulizia accurata del sistema seguendo questa guida.