[Soci SLIP] Voglio piangere (WannaCry)

[Lucio Crusca]

Il 20/05/2017 07:36, giorgio boiero ha scritto:
> Primo tool di decriptazione
> http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html
>

Grazie per la segnalazione, ma tenderei a non alimentare molte speranze 
in chi eventualmente è stato colpito da WannaCry. Questo tool ti fa 
recuperare i files solo se:

1) non hai ancora riavviato il pc da quando hai beccato WannaCry
2) nessun processo ha riutilizzato la memoria che WannaCry ha lasciato 
libera dopo l'infezione

Già il punto 1 è di un'improbabilità disarmante: l'azione tipica su 
Windows, quando qualcosa smette di funzionare, è provare a fare un 
riavvio. Ce lo ha insegnato mamma Microsoft.

Supponendo di essere tanto fortunati da non aver riavviato (magari si 
tratta di un server che resta sempre acceso, ma anche in quel caso non 
la chiamerei fortuna...) resta il problema che il tool nessuno lo 
installa prima di beccare WannaCry, per il semplice motivo che, se sei 
al corrente di WannaCry, fai prima a fare gli aggiornamenti e metterti 
al sicuro, che ad installare un tool che FORSE di farà recuperare i 
files dopo l'infezione.

La tipica situazione richiede quindi l'installazione del tool su un 
sistema già infetto. Tuttavia, a causa del punto 2 sopra, meno si usa un 
sistema infetto e meglio è, per evitare che qualche processo usi e 
sovrascriva la memoria liberata da WannaCry e vada così a cancellare i 
dati che servirebbero al tool per la decrittazione.

Il problema è che l'installazione del tool stesso richiede di attivare 
parecchi processi interni al sistema (se non altro richiede di caricare 
un nuovo file da disco) e questo potrebbe di per sé sovrascrivere la 
memoria liberata da WannaCry.

In pratica questo tool è più una proof of concept che qualcosa di 
realmente utile. Se anche fosse davvero utile, immagino che una nuova 
versione di WannaCry che cancella quei dati prima di liberare la memoria 
apparirà preso, sempre che non sia già in circolazione.