WannaCry

WannaCry, chiamato anche WanaCrypt0r 2.0, è un worm, di tipologia ransomware, responsabile di un'epidemia su larga scala avvenuta nel maggio 2017 su computer con Microsoft Windows. In esecuzione cripta i file presenti sul computer e chiede un riscatto di alcune centinaia di dollari per decriptarli.

Il 12 maggio 2017 il malware ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell'interno russo, l'Università degli Studi di Milano-Bicocca.

Al 28 maggio sono stati colpiti oltre 230.000 computer in 150 paesi, rendendolo uno dei maggiori contagi informatici mai avvenuti.

Come funziona

WannaCry sfrutta una vulnerabilità di SMB tramite un exploit chiamato EternalBlue, che si ritiene sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fa chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.

Il malware viene diffuso attraverso finte email e, dopo che viene installato su un computer, comincia a infettare altri sistemi presenti sulla stessa rete e quelli vulnerabili esposti a internet, che vengono infettati senza alcun intervento dell'utente. Quando infetta un computer, WannaCry cripta i file bloccandone l'accesso e aggiunge l'estensione .WCRY; impedisce inoltre il riavvio del sistema. A quel punto, in un file denominato @Please_Read_Me@ è presente una richiesta di riscatto, inizialmente di 300 dollari ma poi elevati a 600, che l'utente deve pagare in bitcoin per avere lo sblocco dei file.