Doctor Web: i nostri utenti non sono stati colpiti da WannaCry

Minacce attuali di virus | Notizie "calde" | Tutte le notizie | Sui virus

15 maggio 2017

Venerdì il 12 maggio ha iniziato gli attacchi ai computer di tutto il mondo il cryptolocker Trojan.Encoder.11432, anche conosciuto come WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY e WNCRY. Sono state colpite organizzazioni governative e commerciali e inoltre persone private. Gli utenti dei prodotti software Dr.Web erano e rimangono al sicuro.

Una versione del trojan, la prima conosciuta da Dr.Web (Wanna Decryptor 1.0) è arrivata per l'analisi al laboratorio dei virus Doctor Web il 27 marzo 2017 alle ore 07:20 e lo stesso giorno alle 11:51 è stata aggiunta ai database dei virus.

Il cryptolocker Trojan.Encoder.11432, conosciuto come WannaCry, ha cominciato a diffondersi attivamente venerdì sera e il fine settimana ha colpito computer di maggiori organizzazioni in tutto il mondo.

Doctor Web ha ottenuto un suo campione il 12 maggio alle 10:45 di mattina e l'ha aggiunto ai database dei virus Dr.Web.

Prima dell'aggiunta del record al database il trojan veniva individuato da Dr.Web come BACKDOOR.Trojan.

Il trojan è un cryptolocker multicomponente che è stato denominato Trojan.Encoder.11432. Comprende quattro componenti: un worm di rete, un dropper del cryptolocker, un cryptolocker e un decryptor d'autore.

Trojan.Encoder.11432 cripta file sul computer infetto e chiede il riscatto per la decriptazione. I soldi dovrebbero essere trasferiti su portafogli elettronici nella criptovaluta Bitcoin.

La causa di distribuzione di massa è stata una vulnerabilità del protocollo SMB. A questa vulnerabilità sono soggetti tutti i sistemi operativi Windows inferiori alla versione 10. Per i nostri utenti Trojan.Encoder.11432 non rappresentava alcun rischio fin dall'inizio della sua diffusione.

Per escludere l'infiltrazione di questo trojan sui vostri computer, consigliamo quanto segue:

  • installare l'aggiornamento per il sistema operativo MS17-010 disponibile sull'indirizzo technet.microsoft.com/en-us/library/security/ms17-010.aspx e inoltre tutti gli aggiornamenti di sicurezza correnti;
  • aggiornare l'antivirus;
  • chiudere attraverso il firewall le porte di rete attaccate (139, 445);
  • disattivare il servizio del sistema operativo attaccato e vulnerabile;
  • vietare l'installazione e l'avvio di nuovi software (file eseguibili);
  • rimuovere i permessi degli utenti non necessari (quelli per avviare e installare nuovi software);
  • rimuovere servizi non necessari nel sistema;
  • vietare l'accesso alla rete Tor.
0
Ultime notizie Tutte le notizie