Come proteggersi dal ransomware Wannacry [Guida]

Il 12 Maggio 2017 sarà ricordato come uno degli attacchi hacker più grandi e diffusi. Ecco come difendersi da Wannacry

L’attacco cracker avvenuto il 12 maggio 2017 si è dimostrato come il più diffuso attacco hacker che ha colpito più o meno tutto il mondo e questo è stato possibile tramite l’utilizzo del ransomware Wannacry, che ha scatenato letteralmente tutte le macchine su cui era installato, e che probabilmente era dormiente, creando una confusione mai vista.

Wannacry ha fatto vittime in tutto il mondo ed anche in Italia ha preso in ostaggio i dati dei computer infettati dei alcune università ed enti pubblici ma poca roba.

Cosa fa Wannacry?

Wannacry, si prende possesso dei computer infettati e cripta tutti i file e per riaverli indietro si devono pagare 300 dollari in Bitcoin altrimenti non potremo riavere indietro i nostri file.

Microsoft ha rilasciato una patch di sicurezza per Windows XP, Windows 8 e Windows Server 2003 mentre Windows 10 sembra immune poichè la patch è stata già rilasciata a Marzo 2017 per coprire anche la falla sfruttata da questo ransomware.

Il pericoloso e temuto tool è stato sviluppato dalla NSA e sembra sia stato rubato dal gruppo Shadow Broker e poi messo in rete. Questo tool sfrutta la vulnerabilità SMBv1 che è incluso in Windows.

Ora andiamo a vedere come difenderci.

Come difendersi da Wannacry?

La soluzione migliore sarebbe quella di aggiornare il nostro computer a Windows 10 oppure disattivare SMBv1, bloccare il traffico SMB in ingresso sulla porta 445 aggiungendo una regola sul nostro router o sul firmware.

  • Blocco del protocollo SMB sul Server e Client
  • Disattivazione del protocollo SMB se non specificamente richiesto
  • Blocco su server e client del traffico diretto verso indirizzi ed URL indirizzati verso siti specializzati come AlienVault e US-CERT o altri simili
  • Riavviare PC spenti e scollegati dalla rete internet

Come disattivare SMBv1

Potete disattivare il Server Message Block (SMB) versione 1 (SMBv1), seguendo le istruzioni pubblicate sul sito di Microsoft che riassumiamo di seguito:

Come disattivare i protocolli SMB sul server SMB

Windows 8 e Windows Server 2012

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB1Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

Dopo aver apportato queste modifiche, è necessario riavviare il computer.
Editor del Registro di sistema

Per disattivare SMBv1 sul server SMB, configurare la seguente chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: SMB1

REG_DWORD: 0 = disattivato
REG_DWORD: 1 = attivato
Predefinito: 1 = attivato
Come disattivare i protocolli SMB sul client SMB su Windows Vista, Server 2008, 7, Server 2008 R2, 8 e Server 2012

Per disattivare SMBv1 nel client SMB, eseguire i seguenti comandi:

 

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
SC.exe config mrxsmb10 start = disabled

LEAVE A REPLY

Please enter your comment!
Please enter your name here