Luca Colantuoni,

Gli ospedali del Regno Unito, l’operatore Telefonica in Spagna, FedEx negli Stati Uniti, Deutsche Bahn in Germania e l’università Bicocca in Italia sono alcune delle vittime di WannaCry, il ransomware che ha bloccato l’accesso ai file su migliaia di computer in quasi 100 paesi. La causa principale della sua ampia diffusione è stata la negligenza, in quanto la patch era stata distribuita due mesi fa. In via del tutto eccezionale, Microsoft ha deciso di rilasciare anche un fix per Windows XP, Windows 8 e Windows Server 2003.

Al momento sono in corso le indagini per risalire ai cybercriminali che hanno effettuato l’attacco informatico, ma sembra certo che l’exploit, denominato Eternal Blue, faccia parte dei tool sviluppati dalla NSA e rubati dal gruppo Shadow Brokers. Probabilmente il malware è entrato nei computer mediante un allegato di posta elettronica e ha successivamente infettato gli altri PC collegati alla stessa rete, sfruttando la vulnerabilità del server SMBv1 incluso in Windows. I file vengono quindi cifrati con una chiave RSA a 2.048 bit e sullo schermo viene mostrato un messaggio contenente la richiesta di riscatto (300 dollari in Bitcoin che diventano 600 dollari, se il pagamento non viene effettuato entro tre giorni).

Tutti i sistemi operativi Microsoft, ad eccezione di Windows 10, sono potenziali bersagli del ransomware. Come detto, la patch per Windows Vista, 7, 8.1 e 10 è stata rilasciata nel mese di marzo. Considerato l’enorme diffusione del malware e l’utilizzo di computer datati da parte di molti utenti, l’azienda di Redmond ha deciso di fornire una patch anche per Windows XP, Windows 8 e Windows Server 2003, per i quali il supporto è terminato da tempo (oltre tre anni fa per Windows XP). Sul sito Microsoft sono disponibili i link per il download degli aggiornamenti di sicurezza.

La soluzione migliore sarebbe quella di acquistare un computer con Windows 10. In alternativa è possibile disattivare SMBv1, seguendo le istruzioni pubblicate da Microsoft, oppure bloccare il traffico SMB in ingresso sulla porta 445, aggiungendo una regola al router/firewall.