Assiste.Forums

[pierre]

ALERTE : Propagation d'un rançongiciel appelé WanaCrypt (ou WanaCrypt0r) exploitant les vulnérabilités MS17-010 (12 mai 2017)

Version initiale de l'alerte
12 mai 2017
13 mai 2017 - mise à jour ;
19 mai 2017 - ajout de la sous-section "Récupération des données chiffrées par WannaCrypt" ;
27 juin 2017 - clôture de l'alerte.

1 - Risque(s)
Installation d'un logiciel malveillant de type rançongiciel ( Ransomware ).
Le Ransomware est nommé de diverses manière : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ...
WanaCrypt0r semble le nommage le plus usité.

2 - Systèmes affectés
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

3 - Résumé
Ce nouveau ransomware exploite des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 (rappel ci-dessous).

4 - Contournement Provisoire
Application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010).

De manière préventive, s'il n'est pas possible de mettre à jour un serveur, il est recommandé de l'isoler logiquement, voir de l'éteindre le temps d'appliquer les mesures adaptées de protection.

Mesures réactives
Si le code malveillant est découvert sur vos systèmes, déconnectez immédiatement du réseau toutes les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Alerter le responsable sécurité ou le service informatique au plus tôt.

Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes (utilisez des supports de sauvegardes neufs et vierges). Les sauvegardes antérieures ne doivent pas être connectées sur les machines contaminées dans le but de reconstituer les fichiers avant contamination : les sauvegardes seraient chiffrées (cryptées) à leur tour et totalement inexploitables (perdues).

Documentation
Rappel de l'avis :

1 - Risque(s)
exécution de code arbitraire à distance
déni de service
contournement de la politique de sécurité
atteinte à la confidentialité des données
élévation de privilèges

Essentiellement : Installation et propagation d'un logiciel malveillant de type rançongiciel, voire, à terme, d'autres logiciels malveillants.

2 - Vecteurs d'infection
Le vecteur d'infection initial pourrait être un courriel avec une pièce jointe malveillante.

Le programme malveillant ensuite exécuté peut être vu comme constitué de deux parties :
un composant chargé de la propagation via le réseau en exploitant une vulnérabilité SMB ;
un rançongiciel.

2 - Systèmes affectés
Les sytèmes d'exploitation Windows vulnérables et en réseau maintenus par l'éditeur sur lesquels le correctif MS17-010 n'aurait pas été installé
Windows 7
Windows 10
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows RT 8.1
Windows Server 2016

Les sytèmes d'exploitation Windows vulnérables obsolètes et en réseau
Windows XP
Windows Vista
Windows serveur 2003
Windows 8
Windows 8.1
Windows Server 2008
WES09
POSReady 2009

Tous les sytèmes d'exploitation Windows sur lesquels un utilisateur ouvrirait la pièce jointe malveillante.


4 - Résumé
De multiples vulnérabilités ont été corrigées dans Microsoft Windows. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.

Plusieurs exploitations de ces vulnérabilités permettent l'apparition d'un nouveau rançongiciel, puis de nombreuses variantes de ce rançongiciel, qui exploitent des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 (cf. CERTFR-2017-AVI-082, section Documentation).

L'attention est attirée sur le fait que :
plusieurs variantes du rançongiciel ont pu être distribuées ;
le composant rançongiciel a pu être remplacé dans certains cas par un composant moins visible.


5 - Contournement provisoire
Recommandations

Le CERT-FR recommande :

l'application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l'éditeur) ;
le respect des recommandations génériques relatives aux rançongiciels ;
de limiter l'exposition du service SMB, en particulier sur internet.

Un correctif de l'éditeur est aussi disponible pour les systèmes obsolètes suivants :

Windows XP SP2 pour processeurs x64 ;
Windows Server 2003 ;
Windows XP SP3 pour XPe ;
Windows XP SP3 ;
Windows Vista ;
Windows Server 2008 ;
WES09 et POSReady 2009 ;

Il peut être téléchargé depuis https://www.catalog.update.microsoft.co ... =KB4012598.
Prévention

De manière préventive, s'il n'est pas possible de mettre à jour un serveur, il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.

La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.
Récupération des données chiffrées par WannaCrypt

En cas d'infection par la version actuelle du rançongiciel WannaCrypt sous Windows XP, Windows 2003 et Windows 7 dans ses versions x86, une tentative de déchiffrement de vos données peut être effectuée à l'aide des outils WanaKiwi, ou bien WannaKey accompagné de Wanafork. Ces outils sont disponibles en source ouverte depuis https://github.com/gentilkiwi/wanakiwi/releases, https://github.com/aguinet/wannakey et https://github.com/odzhan/wanafork/.

Cette opération n'est pas garantie de fonctionner mais n'altérera aucun fichier en cas d'échec. Afin d'améliorer les chances de réussite de ces outils, le CERT-FR recommande de suivre les procédures suivantes :

Le système ne doit pas avoir été redémarré après l'infection, auquel cas les outils cités ci-dessus ne fonctionneront pas;
Il est déconseillé de manipuler le système après infection, mis à part pour lancer les outils de récupération des données chiffrées.

En cas de réussite, les fichiers chiffrés (.WNCRY) sont gardés intacts et les données déchiffrés sont enregistrées dans des fichiers séparés.

6 - Mesures réactives
Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt.

Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le bulletin d'actualité CERTFR-2015-ACT-004 précise de manière plus complète les mesures à appliquer (cf. section Documentation).

7 - Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

8 - Documentation
Concernant le rançongiciel WannaCrypt et les correctifs

https://www.catalog.update.microsoft.co ... =KB4012598
https://technet.microsoft.com/fr-fr/lib ... y/MS17-010
https://blogs.technet.microsoft.com/msr ... t-attacks/
https://blogs.technet.microsoft.com/mmp ... e-systems/
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
https://github.com/gentilkiwi/wanakiwi/releases
https://github.com/aguinet/wannakey
https://github.com/odzhan/wanafork/

Désactivation de SMBv1
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
https://aka.ms/disablesmb1

Autres
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html

Bulletin de sécurité Microsoft MS17-012 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-012

Bulletin de sécurité Microsoft MS17-008 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-008

Bulletin de sécurité Microsoft MS17-009 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-009

Bulletin de sécurité Microsoft MS17-010 du 14 mars 2017 - Security Update for Microsoft Windows SMB Server (4013389)
https://technet.microsoft.com/fr-fr/lib ... y/MS17-010

Bulletin de sécurité Microsoft MS17-011 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-011

Bulletin de sécurité Microsoft MS17-013 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-013

Bulletin de sécurité Microsoft MS17-015 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-015

Bulletin de sécurité Microsoft MS17-016 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-016

Bulletin de sécurité Microsoft MS17-017 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-017

Bulletin de sécurité Microsoft MS17-018 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-018

Bulletin de sécurité Microsoft MS17-019 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-019

Bulletin de sécurité Microsoft MS17-020 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-020

Bulletin de sécurité Microsoft MS17-021 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-021

Bulletin de sécurité Microsoft MS17-022 du 14 mars 2017
https://technet.microsoft.com/fr-fr/lib ... y/MS17-022

Référence CVE CVE-2017-0110
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0110

Référence CVE CVE-2017-0007
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0007

Référence CVE CVE-2017-0016
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0016

Référence CVE CVE-2017-0039
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0039

Référence CVE CVE-2017-0057
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0057

Référence CVE CVE-2017-0100
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0100

Référence CVE CVE-2017-0104
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0104

Référence CVE CVE-2017-0021
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0021

Référence CVE CVE-2017-0051
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0051

Référence CVE CVE-2017-0074
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0074

Référence CVE CVE-2017-0075
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0075

Référence CVE CVE-2017-0076
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0076

Référence CVE CVE-2017-0095
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0095

Référence CVE CVE-2017-0096
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0096

Référence CVE CVE-2017-0097
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0097

Référence CVE CVE-2017-0098
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0098

Référence CVE CVE-2017-0099
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0099

Référence CVE CVE-2017-0109
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0109

Référence CVE CVE-2017-0023
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0023

Référence CVE CVE-2017-0143
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0143

Référence CVE CVE-2017-0144
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0144

Référence CVE CVE-2017-0145
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0145

Référence CVE CVE-2017-0146
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0146

Référence CVE CVE-2017-0147
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0147

Référence CVE CVE-2017-0148
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0148

Référence CVE CVE-2017-0072
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0072

Référence CVE CVE-2017-0083
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0083

Référence CVE CVE-2017-0084
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0084

Référence CVE CVE-2017-0085
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0085

Référence CVE CVE-2017-0086
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0086

Référence CVE CVE-2017-0087
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0087

Référence CVE CVE-2017-0088
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0088

Référence CVE CVE-2017-0089
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0089

Référence CVE CVE-2017-0090
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0090

Référence CVE CVE-2017-0091
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0091

Référence CVE CVE-2017-0092
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0092

Référence CVE CVE-2017-0111
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0111

Référence CVE CVE-2017-0112
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0112

Référence CVE CVE-2017-0113
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0113

Référence CVE CVE-2017-0114
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0114

Référence CVE CVE-2017-0115
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0115

Référence CVE CVE-2017-0116
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0116

Référence CVE CVE-2017-0117
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0117

Référence CVE CVE-2017-0118
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0118

Référence CVE CVE-2017-0119
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0119

Référence CVE CVE-2017-0120
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0120

Référence CVE CVE-2017-0121
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0121

Référence CVE CVE-2017-0122
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0122

Référence CVE CVE-2017-0123
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0123

Référence CVE CVE-2017-0124
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0124

Référence CVE CVE-2017-0125
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0125

Référence CVE CVE-2017-0126
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0126

Référence CVE CVE-2017-0127
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0127

Référence CVE CVE-2017-0128
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0128

Référence CVE CVE-2017-0001
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0001

Référence CVE CVE-2017-0005
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0005

Référence CVE CVE-2017-0014
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0014

Référence CVE CVE-2017-0025
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0025

Référence CVE CVE-2017-0038
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0038

Référence CVE CVE-2017-0047
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0047

Référence CVE CVE-2017-0060
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0060

Référence CVE CVE-2017-0061
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0061

Référence CVE CVE-2017-0062
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0062

Référence CVE CVE-2017-0063
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0063

Référence CVE CVE-2017-0073
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0073

Référence CVE CVE-2017-0108
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0108

Référence CVE CVE-2017-0055
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0055

Référence CVE CVE-2017-0050
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0050

Référence CVE CVE-2017-0101
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0101

Référence CVE CVE-2017-0102
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0102

Référence CVE CVE-2017-0103
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0103

Référence CVE CVE-2017-0024
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0024

Référence CVE CVE-2017-0026
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0026

Référence CVE CVE-2017-0056
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0056

Référence CVE CVE-2017-0078
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0078

Référence CVE CVE-2017-0079
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0079

Référence CVE CVE-2017-0080
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0080

Référence CVE CVE-2017-0081
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0081

Référence CVE CVE-2017-0082
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0082

Référence CVE CVE-2017-0043
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0043

Référence CVE CVE-2017-0045
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0045

Référence CVE CVE-2017-0042
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0042

Référence CVE CVE-2017-0022
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0022

[Vazkor]

Salut Pierre,

Juste pour info, RTL Info a publié un article assez complet sur cette cyberattaque.

Cyberattaque globale - Un virus exploitant une faille de Windows dévoilée dans des documents volés de la NSA

Amitiés,

Jean-Claude

[pierre]

Bonjour, Jean-CLaude,

Merci pour ce lien en français.

Le Ransomware est nommé de diverses manière : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ...
WanaCrypt0r semble le nommage le plus usité.

"Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l'ont 'découverte', plutôt que quand elle leur a été volée, ça aurait pu être évité", a regretté sur Twitter Edward Snowden, l'ancien consultant de l'agence de sécurité américaine qui avait dévoilé l'ampleur de la surveillance de la NSA en 2013.

La NSA sous-traite à des experts (des équipes d'experts), et à ses propres experts, la découverte de failles de sécurité, partout, dans tous les logiciels de tous les éditeurs. Prism et Cie - Les révélations d'Edward Snowden sont là pour nous le rappeler sans cesse.

• Si Project Zero (de Google) œuvre dans le sens de la sécurisation mondiale du Web en tenant les éditeurs par les baloches (avec des arrières pensés de concurrence puisqu'il s'agit de pointer du doigt les défaillances chez les autres, surtout là ou Google entre en concurrence), la NSA garde pour elle ses découvertes de failles, car elle les exploite pour elle, contre nous.
  
• Lorsque Google est pris à ses propres failles, dans les avis publiés ici, il ne donne jamais le risque encouru, contrairement à tous les autres - lancer cette recherche : search.php?keywords=google++Non+sp%C3%A9cifi%C3%A9+par+l%27%C3%A9diteur&terms=all&author=&fid%5B%5D=173&sc=1&sf=all&sr=posts&sk=t&sd=d&st=0&ch=300&t=0&submit=Rechercher ).

L'Internet et le Web sont vraiment des zones sales, instables et dangereuses pour la vie privée et les guerres économiques et industrielles (brevets, marchés, élections présidentielles, etc. ...) et la cybercriminalité.

Toutes ces alertes sont là pour rappeler, jour après jour, que la vigilance doit être continue, chaque seconde, à chaque clic, comme une angoisse de chaque instant. L'ignorer, ou balayer le risque d'un revers de main, contribue à le rendre encore plus malsain en lui donnant un blanc-seing.

Bonne journée.

[piratebab]

une cartographie de l'attaque
https://francais.rt.com/international/3 ... e-frappent

[pierre]

Merci Pirate,

Le Ransomware est nommé de diverses manière : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ...
WanaCrypt0r semble le nommage le plus usité.





Le montant de la demande de rançon est de 300 US$ payable uniquement en Bitcoin sous trois jours.
Si le paiement n'intervient pas dans les trois jours de l'infection, la rançon double (600 US$).
Si le paiement n'intervient pas dans les 7 jours, le décrypteur est détruit. Les fichiers chiffrés sont perdus à tout jamais (il n'y a pas de contournement/déchiffrement possible connu à ce jour - gardez vos fichiers pour le cas où un outil de déchiffrement serait trouvé, dans quelques années).

Protection

Les particuliers et utilisateurs finaux (mono ordinateur), comme les entreprises (réseaux d'ordinateurs) doivent impérativement et immédiatement s'assurer que leurs systèmes d'exploitation et leurs logiciels sont mis à jour avec tous les correctifs actuels afin d'empêcher la propagation de l'infection.

Si les mises à jour avaient été effectuées dès le Patch Tuesday du 09 mai 2017, il n'y aurait eu aucun ordinateur compromis.

Dans le cas présent, l'utilisation de systèmes d'exploitation périmés et plus maintenus (Windows XP, par exemple) est critique. La faille ne sera pas corrigée.

Malwarebytes Premium (pour les utilisateurs finaux, les particuliers, les professions libérales, les mono ordinateurs) et Malwarebytes Endpoint Security (pour les réseaux informatiques d'entreprises), offrent déjà une protection proactive contre cette menace. La technologie anti-exploit, sans base de signature, de Malwarebytes, bloque le vecteur d'infection, tandis que la technologie anti-malware de Malwarebytes bloque l'exécution de la charge utile, en amont de l'infection. La technologie anti-ransomware de Malwarebytes empêche les fichiers des utilisateurs d'être chiffrés et arrêtera toute future variante, à ce jour inconnue, du ransomware.

[pierre]

Les Botnet (réseau de machines zombies) en cours d'usage à l'instant (12 mai 2017 à 10.08 heure française) pour déployer WanaCrypt0r

Le Ransomware est nommé de diverses manière : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ...
WanaCrypt0r semble le nommage le plus usité.

[Vazkor]

Salut,

Mieux vaut tard que jamais.
Microsoft a sorti un patch pour toutes les versions de Windows, donc y compris Windows XP SP3
https://blogs.technet.microsoft.com/msr ... t-attacks/

On ne répétera jamais assez qu'il faut faire des sauvegardes régulièrement, de tout ce qui est important et difficilement remplaçable, de préférence à deux endroits différents, dont au moins un sur un support externe (non connecté au PC en permanence).

Personnellement j'effectue une sauvegarde d'un tas de dossiers de C: sur D: (un disque dur interne) et moins souvent également sur un disque dur externe, que je n'alimente que le temps de faire la sauvegarde.
J'utilise toujours un fichier batch qui appelle la commande robocopy.exe une vingtaine de fois avec des paramètres différents.
Robocopy.exe est une commande fournie avec Windows 7 et suivants. Pas besoin d'installer un logiciel particulier.
La première sauvegarde complète est assez lente (jusqu'à une demi-heure pour ±80 Go), mais les suivantes sont incrémentielles et peuvent être très rapides (de quelques secondes à quelques minutes, suivant ce qu'il faut mettre à jour).

@+

[bellafago]

Bonjour,


Pour en finir avec: Crysis, Marsjoke/Polyglot, WildFire, Chimera, TeslaCrypt, Shade, CoinVault, Rannoh, Rakhni,

La bataille est terminée contre ces familles de rançongiciels. Si votre système a été infecté par l’un d'entre eux, cliquez sur le lien correspondant et vous serez redirigé vers l’outil de déchiffrement.

Sur le site de : https://www.nomoreransom.org/fr/index.htm
*Notre premier conseil est de ne pas payer la rançon. En envoyant de l’argent aux cybercriminels, non seulement vous confirmerez que les
rançongiciels fonctionnent, mais il n’y a aucune garantie que vous obteniez la clé de déchiffrement en retour. Dixit nomoreransom.org

Outils de déchiffrement: https://www.nomoreransom.org/fr/decryption-tools.html


Payer, c' est faire vivre les pirates, favoriser leur prolifération, la propagation de leurs malveillances et financer leurs botnets, mais rien ne remplacera les mises a jour dont Vazkor fait état et qui sont cruciales.

@+

[Silure]

Bonsoir à tous.


Ces cyberattaques ont même été évoquées au JT de 13h, aujourd'hui, puisque elles ont atteint PME et grandes entreprises.

Nous sommes tous ici convaincus de la nécessité de se préserver et, donc, de faire des sauvegardes (quant à moi, sur 4 HDD externes). Seuls mes fils m'envisagent comme un paranoïaque. Un sur W 8.1 et l'autre sur Linux mais je gère le parc. Mises à jour faites.

Merci pour le lien, Bellafago.

@+

[pierre]

Bonjour, Bellafago,

Encore un 12 ans d'âge (d'inscription sur le forum). Il y en a plusieurs ces jours-ci. Cela fait plaisir.

Attention : ton lien conduit à un outil de décryptage qui n'a rien à voir avec WanaCrypt0r (en plus, sa dernière mise à jour remonte au 3 février 2017, soit plus de trois mois avant l'attaque WanaCrypt0r).

Rappel :

1. Ce ransomware exploite une faille de sécurité présente dans la totalité des versions de Microsoft Windows
2. Il n'y besoin d'aucune intervention de l'utilisateur - pas besoin d'aller sur un site piégé ou d'exécuter un script malveillant ou d'ouvrir une pièce jointe à un email. Il suffit d'être connecté à l'Internet
3. Les systèmes patchés (Windows Update) ne sont pas vulnérables
4. Les systèmes protégés avec Malwarebytes Premium ou Endpoint sont protégés

La faille, qui n'était pas connue, a été révélée à la suite du piratage d'ordinateurs de l’Equation Group par The Shadow Brokers.

C'est la NSA qui avait découvert cette faille et gardait pour elle cette possibilité de pénétrer les ordinateurs du monde entier.

The Shadow Brokers (« les courtiers de l'ombre ») est un groupe de hackers nouvellement connu pour avoir dévoilé, en 2016, des outils d'espionnages, entre autres, de l’Equation Group, (« groupe Équation »), un groupe informatique de cyber-espionnage de haut niveau lié à la National Security Agency (NSA).

Kaspersky :
"Le groupe Equation est probablement l'un des groupes de cyberpirates les plus élaborés au monde et l'un des plus menaçants que nous ayons vu. Il utilise des outils très compliqués et coûteux à développer en vue d'infecter les victimes, accéder à leurs données et masquer son activité avec un professionnalisme remarquable"

Le groupe Equation est soupçonné d'être à la manœuvre de StuxNet - Considéré comme le virus le plus sophistiqué du monde en 2010. Il détruisit physiquement des centrifugeuses nucléaires pilotées par des ordinateurs non connectés à l'Internet et fit reculer de deux ans le programme nucléaire iranien. Lire : StuxNet.

La faille utilisée pour les attaques WanaCrypt0r est appelée ETERNALBLUE dans les documents de la NSA piratés chez l’Equation Group. Elle a été révélée publiquement, avec d'autres, par The Shadow Brokers, le vendredi 14 avril 2017. Il s'agit d'une faille SMB (Server Message Block).

Le Ransomware est nommé de diverses manière : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ...
WanaCrypt0r semble le nommage le plus usité.

Il n'y a pas de décryptage possible, actuellement, de WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ...