Come proteggersi dal ransomware Wannacry [Guida]

Come proteggersi dal ransomware Wannacry [Guida]

Il 12 Maggio 2017 sarà ricordato come uno degli attacchi hacker più grandi e diffusi. Ecco come difendersi da Wannacry

L'attacco cracker avvenuto il 12 maggio 2017 si è dimostrato come il più diffuso attacco hacker che ha colpito più o meno tutto il mondo e questo è stato possibile tramite l'utilizzo del ransomware Wannacry, che ha scatenato letteralmente tutte le macchine su cui era installato, e che probabilmente era dormiente, creando una confusione mai vista.

Wannacry ha fatto vittime in tutto il mondo ed anche in Italia ha preso in ostaggio i dati dei computer infettati dei alcune università ed enti pubblici ma poca roba.

Cosa fa Wannacry?

Wannacry, si prende possesso dei computer infettati e cripta tutti i file e per riaverli indietro si devono pagare 300 dollari in Bitcoin altrimenti non potremo riavere indietro i nostri file.

Microsoft ha rilasciato una patch di sicurezza per Windows XP, Windows 8 e Windows Server 2003 mentre Windows 10 sembra immune poichè la patch è stata già rilasciata a Marzo 2017 per coprire anche la falla sfruttata da questo ransomware.

Il pericoloso e temuto tool è stato sviluppato dalla NSA e sembra sia stato rubato dal gruppo Shadow Broker e poi messo in rete. Questo tool sfrutta la vulnerabilità SMBv1 che è incluso in Windows.

Ora andiamo a vedere come difenderci.

Come difendersi da Wannacry?

La soluzione migliore sarebbe quella di aggiornare il nostro computer a Windows 10 oppure disattivare SMBv1, bloccare il traffico SMB in ingresso sulla porta 445 aggiungendo una regola sul nostro router o sul firmware.

• Blocco del protocollo SMB sul Server e Client
• Disattivazione del protocollo SMB se non specificamente richiesto
• Blocco su server e client del traffico diretto verso indirizzi ed URL indirizzati verso siti specializzati come AlienVault e US-CERT o altri simili
• Riavviare PC spenti e scollegati dalla rete internet

Come disattivare SMBv1

Potete disattivare il Server Message Block (SMB) versione 1 (SMBv1), seguendo le istruzioni pubblicate sul sito di Microsoft che riassumiamo di seguito:

Come disattivare i protocolli SMB sul server SMB

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-SmbServerConfiguration-EnableSMB1Protocol $false

Per disattivare SMBv1 nel server SMB, eseguire il seguente cmdlet:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Per disattivare SMBv1 sul server SMB, configurare la seguente chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: SMB1

Per disattivare SMBv1 nel client SMB, eseguire i seguenti comandi: