L'entreprise espagnole de télécommunications Telefonica a notamment été victime, tout comme les hôpitaux du Royaume-Uni. Selon le Guardian, les attaques britanniques ont touché au moins 16 établissements du système national de santé (NHS) et ont directement compromis les systèmes informatiques utilisés pour garantir la sécurité des patients.
Vidéos recommandées
Avast
Le ransomware WanaCryptOR, ou WCry, est basé sur une vulnérabilité identifiée dans le protocole Windows Server Message Block et corrigée dans Patch Tuesday de mars 2017 de Microsoft mises à jour de sécurité, rapporte Kaspersky Labs. La première version de WCry a été identifiée en février et a depuis été traduite en 28 langues différentes.
Microsoft a répondu à l'attaque avec son propre article de blog sur la sécurité Windows, dans lequel il renforce le message selon lequel les PC Windows actuellement pris en charge et exécutant les derniers correctifs de sécurité sont à l'abri des logiciels malveillants. De plus, Windows Defenders avait déjà été mis à jour pour offrir une protection en temps réel.
"Le 12 mai 2017, nous avons détecté un nouveau ransomware qui se propage comme un ver en exploitant des vulnérabilités qui ont été précédemment corrigées", commence le résumé de l'attaque par Microsoft. « Même si les mises à jour de sécurité sont automatiquement appliquées sur la plupart des ordinateurs, certains utilisateurs et entreprises peuvent retarder le déploiement des correctifs. Malheureusement, le malware, connu sous le nom de WannaCrypt, semble avoir affecté les ordinateurs qui n'ont pas appliqué le correctif pour ces vulnérabilités. Pendant que l’attaque se déroule, nous rappelons aux utilisateurs d’installer MS17-010 s’ils ne l’ont pas déjà fait.
La déclaration poursuit: « La télémétrie antimalware de Microsoft a immédiatement détecté les signes de cette campagne. Nos systèmes experts nous ont donné une visibilité et un contexte sur cette nouvelle attaque au fur et à mesure qu'elle s'est produite, permettant à l'antivirus Windows Defender d'assurer une défense en temps réel. Grâce à l'analyse automatisée, à l'apprentissage automatique et à la modélisation prédictive, nous avons pu nous protéger rapidement contre ce malware.
Avast a en outre émis l'hypothèse que l'exploit sous-jacent avait été volé au groupe Equation, soupçonné d'être lié à la NSA, par un groupe de pirates informatiques se faisant appeler ShadowBrokers. L'exploit est connu sous le nom d'ETERNALBLUE et nommé MS17-010 par Microsoft.
Lorsque le malware frappe, il modifie le nom des fichiers concernés pour inclure une extension « .WNCRY » et ajoute un « WANACRY! marqueur au début de chaque fichier. Il place également sa demande de rançon dans un fichier texte sur la machine de la victime :
Avast
Ensuite, le ransomware affiche son message de rançon qui demande entre 300 $ et 600 $ en bitcoin et fournit des instructions sur la façon de payer puis de récupérer les fichiers cryptés. Le langage utilisé dans les instructions de rançon est curieusement décontracté et semble similaire à ce que l’on pourrait lire dans une offre d’achat d’un produit en ligne. En fait, les utilisateurs ont trois jours pour payer avant que la rançon ne soit doublée et sept jours pour payer avant que les fichiers ne soient plus récupérables.
Avast
Il est intéressant de noter que l’attaque a été ralentie, voire potentiellement stoppée, par un « héros accidentel » simplement en enregistrant un domaine Web codé en dur dans le code du ransomware. Si ce domaine répondait à une requête du malware, il cesserait d’infecter les nouveaux systèmes, agissant comme une sorte de « kill switch » que les cybercriminels pourraient utiliser pour mettre fin à l’attaque.
Comme Le Guardian souligne, chercheur, connu uniquement sous le nom de MalwareTech, a enregistré le domaine pour 10,69 $ et n'était pas au courant au moment du kill switch, déclarant: « J'étais absent. je déjeune avec un ami et je reviens vers 15 heures. et j'ai vu un afflux d'articles de presse sur le NHS et diverses organisations britanniques. frapper. J'ai jeté un coup d'œil à cela, puis j'ai trouvé un échantillon du logiciel malveillant derrière celui-ci et j'ai vu qu'il se connectait à un domaine spécifique, qui n'était pas enregistré. Alors je l’ai récupéré sans savoir ce qu’il faisait à ce moment-là.
MalwareTech a enregistré le domaine au nom de sa société, qui traque les botnets, et a d'abord été accusée d'avoir lancé l'attaque. « Au départ, quelqu'un avait signalé à l'envers que nous avions provoqué l'infection en enregistrant le domaine. J'ai donc dû une mini panique jusqu'à ce que je réalise que c'était en fait l'inverse et que nous l'avions arrêté », a déclaré MalwareTech à The Gardien.
Cependant, cela ne signifiera probablement pas la fin de l’attaque, car les attaquants pourraient être en mesure de modifier le code pour omettre le kill switch. La seule vraie solution consiste à s’assurer que les machines sont entièrement corrigées et exécutent le bon logiciel de protection contre les logiciels malveillants. Bien que les machines Windows soient la cible de cette attaque particulière, MacOS a démontré sa propre vulnérabilité les utilisateurs du système d’exploitation Apple doivent donc également s’assurer de prendre les mesures appropriées.
Dans une nouvelle bien meilleure, il semble désormais qu'il existe un nouvel outil capable de déterminer la clé de cryptage utilisée par le ransomware sur certaines machines permettant aux utilisateurs de récupérer leurs données. Le nouvel outil, appelé Wanakiwi, est similaire à un autre outil, Wannakey, mais il offre une interface plus simple et peut potentiellement réparer les machines exécutant plusieurs versions de Windows. Comme Rapports Ars Technica, Wanakiwi utilise quelques astuces pour récupérer les nombres premiers utilisés lors de la création de la clé de chiffrement, essentiellement en extrayant ces nombres de RAM si la machine infectée reste allumée et que les données n'ont pas déjà été écrasées. Wanawiki exploite certaines « lacunes » de l'interface de programmation d'applications cryptographiques Microsoft utilisée par WannaCry et diverses autres applications pour créer des clés de chiffrement.
Selon Benjamin Delpy, qui a contribué au développement de Wanakiwi, l'outil a été testé sur un certain nombre de machines dotées de disques durs cryptés et a réussi à décrypter plusieurs d'entre elles. Windows Server 2003 et Windows 7 faisaient partie des versions testées, et Delpy suppose que Wanakiwi fonctionnera également avec d'autres versions. Comme le dit Delpy, les utilisateurs peuvent « simplement télécharger Wanakiwi, et si la clé peut être reconstruite, il l'extrait, la reconstruit (une bonne clé) et commence le décryptage de tous les fichiers sur le disque. En bonus, la clé que j'obtiens peut être utilisée avec le décrypteur de malware pour lui faire décrypter les fichiers comme si vous aviez payé.
L'inconvénient est que ni Wanakiwi ni Wannakey ne fonctionnent si le PC infecté a été redémarré ou si l'espace mémoire contenant les nombres premiers a déjà été écrasé. C'est donc définitivement un outil qui doit être téléchargé et tenu à portée de main. Pour plus de tranquillité d'esprit, il convient de noter que la société de sécurité Comae Technologies a aidé au développement et aux tests de Wanakiwi et peut vérifier son efficacité.
Tu peux téléchargez Wanakiwi ici. Décompressez simplement l'application et exécutez-la, et notez que Windows 10 se plaindra que l'application est un programme inconnu et que vous devrez cliquer sur « Plus d'informations » pour lui permettre de s'exécuter.
Mark Coppock/Tendances numériques
Les ransomwares sont l'un des pires types de logiciels malveillants, dans la mesure où ils attaquent nos informations et les verrouillent derrière un cryptage fort, à moins que nous ne payions de l'argent à l'attaquant en échange d'une clé pour les déverrouiller. Il y a quelque chose de personnel dans les ransomwares qui les différencie des attaques aléatoires de logiciels malveillants qui transforment nos PC en robots sans visage.
La meilleure façon de vous protéger contre WCry est de vous assurer que votre PC Windows est entièrement équipé des dernières mises à jour. Si vous avez suivi le calendrier du Patch Tuesday de Microsoft et exécutez au moins Windows Defender, vos machines devraient déjà être protégé – bien que disposer d’une sauvegarde hors ligne de vos fichiers les plus importants qui ne peuvent pas être touchés par une telle attaque soit une étape importante pour prendre. À l’avenir, ce sont les milliers de machines qui n’ont pas encore été corrigées qui continueront à souffrir de cette attaque particulièrement répandue.
Mis à jour le 19/05/2017 par Mark Coppock: Ajout d'informations sur l'outil Wanakiwi.
Recommandations des rédacteurs
- Les attaques de ransomwares ont augmenté massivement. Voici comment rester en sécurité
- Les pirates informatiques marquent des points avec des ransomwares qui attaquent leurs précédentes victimes
