Attacco virus RANSOMWARE-WANNACRYPT

Dalla Fondazione CRUI

****************************************************

aggiornamenti sul tema in oggetto:

· Ci sono stati segnalati casi in Italia di link malevoli ricevuti via SMS. Raccomandiamo quindi attenzione nell’aprire mail o collegamenti anche su canali SMS o equivalenti (es.: WhatsApp Web su PC)

· aggiungo un ulteriore post del collega Feliciano Intini con un riepilogo, in italiano, del problema e alcune considerazioni aggiuntive sulle contromisure: https://blogs.technet.microsoft.com/feliciano_intini/2017/05/14/attacco-ransomware-wannacry-risorse-utili-e-chiarimenti

RACCOMANDAZIONI PER FRONTEGGIARE GLI ATTACCHI

vi invio un aggiornamento per segnalarvi un articolo con le nostre raccomandazioni per fronteggiare gli attacchi in corso: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

In particolare si evidenzia:

  • in considerazione della situazione in via eccezionale abbiamo messo a disposizione di tutti i clienti, anche quelli che non hanno un Custom Support Agreement, la security update che protegge anche le piattaforme fuori supporto (Windows 2003, Windows XP e Windows 8)
  • gli attacchi attuali non stanno mirando ai client Windows 10
  • ci aspettiamo che questo tipo di attacco possa evolvere nel tempo quindi rimane raccomandato mantenere alto il livello di guardia generale e adottare ove possibile strategie di protezione approfondite (tra cui ad esempio la disabilitazione di protocolli di comunicazione obsoleti quali SMBv1)
  • diverse versioni dell’attacco usano tecniche di phishing e documenti malevoli, quindi sarà importante raccomandare agli utenti di adottare sempre cautela nell’aprire messaggi e allegati provenienti da fonti sconosciute o sospette

nelle ultime ore avrete sicuramente sentito parlare sui media di attacchi di tipo Ransomware che hanno colpito in territorio Europeo.

Di seguito trovate alcune informazioni utili ad indirizzare le problematiche:

 This malware is using Social Engineering to target companies.  The emails trick users into clicking files and attachments that use a vulnerability which was addressed by MS17-010 in March 2017 to spread, so please check that all your machines have the latest updates installed. 

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx  

 

Microsoft Anti-Malware products detect the present version of this malware from definition version 1.243.290.0 onwards

 

Workarounds (Only if the machines cannot be updated with the March MS17-010)

The following workarounds may be helpful in your situation: 

·         Disable SMBv1

 

For customers running Windows Vista and later

See Microsoft Knowledge Base Article 2696547.

Alternative method for customers running Windows 8.1 or Windows Server 2012 R2 and later

For client operating systems:

1.      Open Control Panel, click Programs, and then click Turn Windows features on or off.

2.      In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.

3.      Restart the system.
 

For server operating systems:

4.      Open Server Manager and then click the Manage menu and select Remove Roles and Features.

5.      In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.

6.      Restart the system.
 

Impact of workaround. The SMBv1 protocol will be disabled on the target system.

How to undo the workaround. Retrace the workaround steps, and select the SMB1.0/CIFS File Sharing Support check box to restore the SMB1.0/CIFS File Sharing Support feature to an active state.

 

Verify as well that no users have Administrative and especially not Domain privileges have been infected and if so please reset the passwords two times .

Action Plan:

(1)   The priority is that your anti-virus can detect the malware. Verify that you have up-to-date signatures.

(2)   Make sure that users have the level of knowledge required to never click on suspicious attachments even if they are displayed with a familiar icon (office or PDF document). Where an attachment opening offers the execution of an application, users must under no circumstances accept execution and in doubt, users should you consult and/or consult the competent computer.

If you feel you have detected a new threat, sample, can you retrieve a sample of the malware and send it to the Microsoft Malware Protection Team?  https://www.microsoft.com/en-us/security/portal/submission/submit.aspx