WannaCry ostacolato da un altro malware

WannaCry è ormai diventato una “star” mondiale dopo aver bloccato l’accesso ai file su migliaia di computer in oltre 150 paesi. La stessa vulnerabilità nel server SMB di Windows, utilizzata dal ransomware per eseguire l’attacco informatico, è stata sfruttata da un altro malware, denominato Adylkuzz, che ha funzionato come antidoto, impedendo una maggiore diffusione di WannaCry.

Il ransomware è basato sul codice dell’exploit EternalBlue sviluppato dalla NSA e diventato di dominio pubblico in seguito al furto attuato dal gruppo Shadow Brokers. WannaCry sfrutta la vulnerabilità nel server SMB, per la quale Microsoft ha rilasciato la patch MS17-010 nel mese di marzo, propagandosi ad altri computer collegati alla stessa rete locale. Diversi giorni prima del 12 maggio, più o meno tra il 24 aprile e il 2 maggio, migliaia di computer erano stati attaccati da Adylkuzz, un miner che utilizza la potenza di calcolo per generare la cripto-valuta Monero, simile a Bitcoin.

Adylkuzz non blocca l’accesso ai file chiedendo un riscatto (300 dollari), ma rallenta le prestazioni del computer e chiude la porta 445, la stessa usata da WannaCry. In pratica, il miner ha impedito al ransomware di sfruttare la vulnerabilità nel server SMB, rallentando di fatto la sua diffusione. Gli attacchi potrebbero però continuare nei prossimi giorni, in quanto sono state rilevate nuove versioni di WannaCry e un nuovo ransomware (UIWIX) che funziona in modo simile.

Installare la patch rilasciata da Microsoft per tutte le edizioni di Windows consente di proteggere i computer, bloccando l’ingresso di WannaCry, Adylkuzz e UIWIX.