WannaCry , chiamato anche WanaCrypt0r 2.0, è un virus informatico responsabile di un’epidemia su larga scala avvenuta nel maggio 2017. Il virus, di tipologia ransomware, cripta i file presenti sul computer e chiede un riscatto di alcune centinaia di dollari per decriptarli.
Il 12 maggio 2017 il malware ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefònica, Tuenti, Renault, il National Health Service, il Ministero dell’interno Russo, l’università degli studi di Milano-Bicocca.
COME ?
WannaCry sfrutta una vulnerabilità di SMB tramite un exploit chiamato EternalBlue, sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.
Il malware viene diffuso attraverso finte email e dopo che viene installato su un computer, comincia a infettare altri sistemi presenti sulla stessa rete e quelli vulnerabili esposti a internet, che vengono infettati senza alcun intervento dell’utente. Quando infetta un computer, WannaCry cripta i file bloccandone l’accesso e aggiunge l’estensione. Impedisce inoltre il riavvio del sistema. A quel punto, in un file denominato @Please_Read_Me@ è presente una richiesta di riscatto, inizialmente di 300 dollari ma poi elevati a 600, che l’utente deve pagare in bitcoin per avere lo sblocco dei file.