di Valeria Zeppilli - Le reti informatiche di oltre 100 paesi nel mondo e più di 200mila sistemi windows sono stati attaccati nel corso degli ultimi giorni da un virus terribile, denominato WannaCry.
Si tratta più precisamente di ransomware, ovverosia un malware che blocca il computer e che chiede un riscatto per renderlo nuovamente accessibile, che ha danneggiato aziende telefoniche, fabbriche e ospedali e la cui propagazione è stata arginata solo grazie all'intervento di un ricercatore britannico.
Arginata sì, ma non definitivamente e non è detto che il ransomware torni di nuovo a colpire, magari ripartendo da computer infettati nel corso dell'"epidemia".
Cert-Pa ha quindi tempestivamente pubblicato sul sito dell'Agenzia per l'Italia Digitale delle linee guida alle quali le Pubbliche amministrazioni (ma non solo) dovranno attenersi per evitare che si danneggi anche ciò che è andato esente da danni.
Patch Microsoft
Il rimedio migliore, unico in grado di garantire effettivamente la compromissione, è rappresentato dalla patch sviluppata da Microsoft e pubblicata con il Microsoft Security Bulletin MS17-010-Critical. Solo la sua installazione permette di superare la vulnerabilità.
Antivirus
Oltre alla patch, vanno installati anche gli antivirus, nella versione aggiornata a dopo il 12 maggio, che permettono di agire su un sistema compromesso dall'azione di WannaCry, ripulendolo.
Solo la patch, però, permette di impedire che una nuova versione del malware sfrutti una vulnerabilità sfuggita al controllo dell'antivirus.
Altre azioni
Per mettersi al riparo rispetto alla compromissione del sistema e all'estensione del virus, è opportuno prendere poi altre importanti misure, ovverosia: disattivare il protocollo SMB ove non richiesto specificamente, bloccare il protocollo SMB sulla frontiera, bloccare sulla frontiera il traffico diretto verso indirizzi e URL reperibili da raccolte disponibili su siti specializzati, riavviare le macchine spente.
Accensione delle macchine spente
Si segnala che le macchine che al momento della diffusione del malware erano spente e che ancora non sono state accese sono rimaste indenni dall'epidemia. Di conseguenza è ora fondamentale evitare che il loro riavvio crei un danno.
A tal proposito, prima di accendere la macchina bisogna disconnettere il cavo di rete o disabilitare l'interfaccia in caso di connessioni Wi-Fi.
A questo punto è possibile accendere la macchina ma, se al momento dell'avvio si verificano eventi anomali, è fondamentale fermarsi e chiedere l'aiuto di un tecnico.
Se, invece, l'avvio non ha subito anomalie, occorre ricercare sull'hard disk eventuali file con estensione .wncry. Solo se la ricerca non produce risultati, si potrà stare tranquilli, altrimenti occorrerà contattare un esperto.
In ogni caso, anche se il predetto passaggio non ha dato problemi di sorta, prima di tornare a collegare il sistema a internet, è importante chiudere tutte le applicazioni avviate automaticamente, specie quelle di posta elettronica.
A questo punto, collegato il pc alla rete, bisogna forzare l'aggiornamento dell'antivirus e, solo fatta anche tale ultima operazione, il sistema potrà essere utilizzato come di consueto.
In ogni caso, la gestione dei messaggi di posta elettronica va sempre fatta con particolare attenzione.
Le quattro regole da seguire
In generale, le regole che permettono di difendersi il più possibile dai malware sono quattro.
Innanzitutto, diversificare le diverse password utilizzate per le e-mail, considerato che la maggior parte dei virus arrivano tramite phishing.
Per gli account di posta, cloud e social è poi sempre bene attivare il second checking.
La terza regola da seguire è quella di aggiornare costantemente il sistema operativo.
Infine, i file importanti vanno copiati su più supporti, anche utilizzando i servizi di cloud computing.
Il rischio non è annullato
La Cert-Pa ha comunque precisato che tutte le predette regole possono solo ridurre il rischio di essere "aggrediti" dal WannaCry, ma non sono in grado di annullarne la propagazione.
