Wannacry - Non Vi resta che Piangere

Come sicuramente tutti ormai sanno, in questi giorni c'è stato un forte attacco informatico a strutture importanti di tutto il mondo, tramite un Malware chiamato Wannacry (denominato da ESET: Win32/Filecoder.WannaCryptor), come nome deriva dalla contrazione di "Wanna Decrypt0r 2.0" poi diventato WCry o Wanna Cry, letteralmente Voglio Piangere e appartenente alla categoria dei RansomWare, cioè un tipo di Malware che Cripta i file del Computer attaccato e chiede un Riscatto (= Ransom inglese) per poterli decriptare; in questo caso il riscatto era di circa 300$, da pagare in BitCoin che poi sale a 600$ se non viene pagato entro un certo tempo.

Come tutti gli altri Ransomware anche Wannacry si diffonde tramite email, probabilmente tramite una finta fattura, spingendo l'utente del Computer ad aprire l'allegato senza verificare l'attendibilità o la provenienza. Molto probabilmente lo stesso allegato non è realmente un Malware ma solo un "Downloader" che prima scarica il Ransomware e poi esegue infettando il Computer.

Però Wannacry è risultato da subito un Ransomware differente rispetto ai suoi predecessori; come prima cosa pare che gli sviluppatori del "Virus" (non mi piace e non devono essere chiamati Hacker) abbiano puntato a grandi strutture (Ospedali, Gestori di Telefonia, Gas, Energia Elettrica, Banche, Università etc), probabilmente selezionando in modo specifico gli indirizzi email a cui inviare il loro "Virus". Con i Ransomware precedenti però questo portava a compromettere solo il Computer infetto e, al massimo, periferiche USB o percorsi di rete in cui il PC poteva scrivere. WannaCry ha fatto però molto di più, perché gli sviluppatori hanno incluso nel suo codice le "istruzioni" per sfruttare una vulnerabilità di SMB (il sistema di condivisione dei file e stampanti usato da MS Windows). Questa vulnerabilità è stata scoperta dalla NSA (l'Agenzia di Sicurezza Americana) con il nome NSA EternalBlue ed è stata stata tenuta segreta fino a quando non è stata rubata e quindi diffusa a tutto il mondo da altri Hacker indipendenti chiamati The Shadow Brothers (I Fratelli dell’Ombra).

Interfaccia (testuale) per imapsync

Chi ha avuto la necessità di trasferire il proprio dominio presso un altro Hosting (cioè il gestore che fornisce dominio, spazio web, database e email), ha probabilmente dovuto fare un trasferimento delle caselle posta, specie se usava un client tipo (Outlook o Thunderbird) con il protocollo IMAP, oppure la semplice Webmail.

Per eseguire questo spostamento ci sono vari strumenti, uno di questi si chiama imapsync (Link Sito, Link GitHub), uno strumento a linea di comando (per i non adetti che stanno ancora leggendo... è simile alla finestra "DOS"), disponibile per Linux, Windows e Mac. I parametri da usare sono tantissimi, ma quelli principali sono pochi e semplici. Rimane comunque qualcosa di complesso da dover avviare ogni volta, e durante la migrazione va avviato diverse volte fino alla completa propagazione dei DNS, per evitare che qualche email,recapitata nel vecchio server venga persa.

Al mio primo utilizzo, ho adotatato la soluzione più semplice, cioè ho creato uno script in bash su Linux in cui avevo inserito tutti i parametri per ciascuna casella da sincronizzare. Il risultato era qualcosa di simile:

imapsync --host1 xxx.xx.xxx.xx --user1 Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. --password1 Pippo.1234 --host2 xx.xx.xxx.xxx --user2 Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. --password2 Pippo.1234
imapsync --host1 xxx.xx.xxx.xx --user1 Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. --password1 Pluto.456 --host2 xx.xx.xxx.xxx --user2 Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. --password2 Pluto.456
imapsync --host1 xxx.xx.xxx.xx --user1 Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. --password1 Minni.678 --host2 xx.xx.xxx.xxx --user2 Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. --password2 Minni.678

Al secondo utilizzo, ovviamente per un altro cliente, mi sono reso conto che non era agevele fare delle modifiche e quindi ho parametrizzato lo script, impostando delle variabili. Ora lo script era più facilmente modificabile. Non contento, dopo alcuni utilizzi, ho razionalizzato lo script creando delle funzioni per le operazioni ripetitive e ho inserito dei codici per colorare/evidenziare alcuni passaggi a video e la creazione di un file di log.

Ma si sa, i programmatori non sono mai contenti!!!  :-)

Non mi andava di modificare ogni volta lo script per inserire i nuovi dati delle caselle di posta da sincronizzare, perché c'è sempre il rischio di modificare qualcosa in modo accidentale. Inoltre a volte serve attivare la modalità Test oppure la Pausa per vedere, per ogni casella, il risultato della sincronizzazione. Ho aggiunto quindi delle modifiche, rendendo lo script decisamente più versatile:
- Ho spostato i dati variabili su un file esterno
- Ho aggiunto l'opzione test (visualizza il comando ma non lo esegue)
- Ho aggiunto l'opzione pausa tra una casella di posta e l'altra.

Certamente lo script ancora non è perfetto e qualche altra modifica si può fare... ma una prossima volta :-)

Ho deciso di distribuire sync-tools gratuitamente in versione GPL 2.
Nota, nel download è presente solo il mio tools, per scaricare il programma principale (imapsync), occorre andare ai link indicati all'inizio dell'articolo.

Cliccare qui sotto per scaricare sync-tools

Rilasciata la versione 10 di ESET NOD32

Da poco più di un mese ESET ha rilasciato la Versione 10 del suo pluripremiato Antivirus: NOD32

Fra le tante novità (la versione "Internet Security" e la "Smart Security Premium" che sostituiscono la "Smart Security"), un maggiore leggerezza rispetto alla versione precedente (che di certo NON era pesante, ma non guasta), voglio segnalare l'integrazione nel Core della Tecnologia Anti-Ransomware (es Criptlocker e simili).

I Ransomware sono dei malware molto pericolosi che, criptano i dati nel Computer infettato, nelle periferiche USB collegate (pendrive e Hard Disk esterni) e Percorsi di rete (altri PC, Server o NAS). Una volta che i dati sono stati criptati, compare un messaggio che chiede un riscatto da pagare in Bitcoin (una moneta virtuale le cui transazioni sono irrintracciabili).

Una volta infettato il PC, il malware si può togliere facilmente, ma per recuperare i dati ci sono 2 possibilità:

• Pagare il riscatto (cosa sconsigliata per non incentivare questo tipo di reato informatico, ma anche perché NON c'è nessuna certezza che venga inviata una chiave di decodifica realmente funzionante.
  
  
• Ripristinare i dati dall'ultimo Backup (che si spera sia fatto regolarmente e che fosse al sicuro dal Ransomware al momento dell'infezione, cioè staccato se su HDD esterno o in un percorso protetto se su un NAS o Server).
  

Negli ultimi anni i Ransomware hanno visto una diffusione sempre maggiore, per 3 semplici motivi:

• Gli utenti non sono preparati a riconoscere questo tipo di minaccia e nonostante venga sempre ripetuto di NON cliccare su email sospette o sconosciute, è più forte di loro... ci cliccano, fuorviati dalla semplice intestazione del mittente (Corrieri, Gestori di Telefonia, etc che nulla hanno a che fare con gli invii).
• Molti sistemi di protezione non sono all'altezza, specie quelli gratuiti;
• Alcuni malcapitati pagano il riscatto e questo rende questo tipo di malware molto remunerativo per chi li scrive o li commissiona, aumentando quindi i loro sforzi in questo campo;

Occorre quindi lavorare di prevenzione, con Backup Regolari e Sicuri (che ovviamente proteggono anche contro i guasti hardware), ma anche usando una Soluzione Antivirus realmente efficace, come ad esempio ESET NOD32 che, integrando nel "core" la Tecnlogia Anti-Ransomware, permette di essere ancora più efficace nel riconosce e bloccare questo tipo di minacce.

Spiegare nel dettaglio come funziona il riconoscimento Anti-Ransomware è abbastanza complesso ma a grandi linee funziona così:

• Controllo in base alle firme (le firme sono gli aggiornamenti che NOD32 scarica più volte al giorno)
  
• Controllo in base all'euristica (cerca istruzioni sospette nel file).
• Invio di un Hash (una stringa univoca che rappresenta il file) sul Cloud Live Grid per verificare se quel file è stato già identificato da altri utenti di NOD32.
  
• Viene eseguito in una Sandbox (una sorta di Zona sicura che non può essere scavalcata, per verificare come si comporta il file); alcuni Ransomware riconoscono la Sandbox e rimangono inattivi.
• Infine nell'esecuzione vera e propria viene monitorata l'attività del file... se va a criptare dei file viene subito bloccato e terminato.

 Per questo motivo, oltre ad usare personalmente NOD32, lo consiglio a tutti i miei clienti da diversi anni e in particolare ora consiglio l'aggiornamento alla versione 10, precisando che la licenza prevede non l'installazione di una specifica versione (8, 9 o 10), ma l'installazione di una qualunque versione adatta al proprio sistema, quindi per Windows Vista, 7, 8 e 10 consiglio di aggiornare alla versione 10, mentre chi ha ancora Windows XP dovrà accontentarsi della versione 9.

Come accennato all'inzio, questo tipo di infezione non colpisce solo gli utenti Windows, per cui segnalo anche l'esistenza della versione di NOD32 "ESET Cyber Security" per gli utenti Mac e "ESET NOD32 Antivirus per Linux Desktop" per gli utenti Linux.