Qu'est-ce que le ransomware WannaCry, comment ça marche et comment rester en sécurité

WannaCry Ransomware, également connu sous les noms WannaCrypt, WanaCrypt0r ou Wcrypt est un ransomware qui cible les systèmes d'exploitation Windows. Découvert le 12^e Mai 2017, WannaCrypt a été utilisé dans une grande cyber-attaque et a depuis infecté plus de 230 000 PC Windows dans 150 pays. à présent.

Qu'est-ce que le ransomware WannaCry

Les premiers succès de WannaCrypt incluent le National Health Service du Royaume-Uni, la société de télécommunications espagnole Telefónica et la société de logistique FedEx. L'ampleur de la campagne de ransomware était telle qu'elle a semé le chaos dans les hôpitaux du Royaume-Uni. Beaucoup d'entre eux ont dû être fermés, déclenchant la fermeture des opérations à court terme, tandis que le personnel était obligé d'utiliser un stylo et du papier pour son travail avec des systèmes verrouillés par Ransomware.

Comment le ransomware WannaCry pénètre-t-il dans votre ordinateur

Comme en témoignent ses attaques mondiales, WannaCrypt accède d'abord au système informatique via un pièce jointe et par la suite peut se propager rapidement à travers LAN. Le ransomware peut crypter le disque dur de votre système et tente d'exploiter le Vulnérabilité SMB se propager à des ordinateurs aléatoires sur Internet via le port TCP et entre ordinateurs sur le même réseau.

Qui a créé WannaCry

Il n'y a aucun rapport confirmé sur qui a créé WannaCrypt bien que WanaCrypt0r 2.0 semble être le 2^sd tentative faite par ses auteurs. Son prédécesseur, Ransomware WeCry, a été découvert en février de cette année et a demandé 0.1 Bitcoin à débloquer.

Actuellement, les attaquants utiliseraient l'exploit Microsoft Windows Bleu éternel qui aurait été créé par la NSA. Ces outils auraient été volés et divulgués par un groupe appelé Courtiers fantômes.

Comment WannaCry se propage-t-il

Ce Ransomware se propage en utilisant une vulnérabilité dans les implémentations de Server Message Block (SMB) dans les systèmes Windows. Cet exploit est nommé comme Bleu éternel qui aurait été volé et utilisé à mauvais escient par un groupe appelé Courtiers fantômes.

de façon intéressante, Bleu éternel est une arme de piratage développée par la NSA pour accéder et commander les ordinateurs exécutant Microsoft Windows. Il a été spécialement conçu pour que l'unité de renseignement militaire américaine ait accès aux ordinateurs utilisés par les terroristes.

WannaCrypt crée un vecteur d'entrée dans les machines encore non corrigées même après que le correctif soit devenu disponible. WannaCrypt cible toutes les versions de Windows qui n'ont pas été corrigées pour MS-17-010, que Microsoft a publié en mars 2017 pour Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 et Windows Server 2016.

Le schéma d'infection commun comprend :

• Arrivée via des e-mails d'ingénierie sociale conçus pour inciter les utilisateurs à exécuter le malware et à activer la fonctionnalité de propagation des vers avec l'exploit SMB. Les rapports indiquent que le malware est livré dans un fichier Microsoft Word infecté qui est envoyé dans un e-mail, déguisé en offre d'emploi, une facture ou un autre document pertinent.
• Infection via un exploit SMB lorsqu'un ordinateur non corrigé peut être adressé sur d'autres machines infectées

WannaCry est un compte-gouttes cheval de Troie

Présentant des propriétés celles d'un cheval de Troie dropper, WannaCry, essaie de connecter le domaine hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, en utilisant l'API InternetOpenUrlA() :

Cependant, si la connexion réussit, la menace n'infecte pas davantage le système avec un ransomware ou n'essaie pas d'exploiter d'autres systèmes pour se propager ; il arrête simplement l'exécution. Ce n'est que lorsque la connexion échoue, que le compte-gouttes supprime le ransomware et crée un service sur le système.

Par conséquent, le blocage du domaine avec un pare-feu au niveau du FAI ou du réseau d'entreprise entraînera la poursuite de la propagation et du cryptage des fichiers par le ransomware.

C'est exactement ainsi qu'un chercheur en sécurité a arrêté l'épidémie de WannaCry Ransomware! Ce chercheur estime que l'objectif de cette vérification de domaine était que le ransomware vérifie s'il était exécuté dans un bac à sable. Cependant, un autre chercheur en sécurité a estimé que la vérification de domaine n'est pas compatible avec le proxy.

Lorsqu'il est exécuté, WannaCrypt crée les clés de registre suivantes :

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exécuter\\ = "\tasksche.EXE"
• HKLM\SOFTWARE\WanaCrypt0r\\wd = ""

Il change le fond d'écran en message de rançon en modifiant la clé de registre suivante :

• HKCU\Panneau de configuration\Bureau\Fond d'écran : "\@[email protégé]”

La rançon demandée contre la clé de déchiffrement commence par 300 $ qui augmente toutes les quelques heures.

Extensions de fichiers infectées par WannaCrypt

WannaCrypt recherche sur tout l'ordinateur tout fichier portant l'une des extensions de nom de fichier suivantes : .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .clé , .sldm , .3g2 , .allonger , .sldm , .3gp , .poser6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .forces de défense principale , .sqlitedb , .asf , .milieu , .stc , .asm , .mkv , .std , .aspic , .mml , .sti , .avi , .déplacer , .stw , .sauvegarde , .mp3 , .suo , .bak , .mp4 , .svg , .chauve souris , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .message , .sxd , .bz2 , .mon D , .sxi , .c , .mon je , .sxm , .cgm , .nef , .sxw , .classer , .odb , .le goudron , .cmd , .bizarre , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .bizarre , .tiff , .RSE , .untoc2 , .SMS , .csv , .ost , .ouais , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vb , .der" , .ott , .vcd , .différence , .p12 , .vdi , .tremper , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .point , .php , .wav , .point , .PL , .wb2 , .dotx , .png , .sem1 , .dwg , .pot , .semaines , .edb , .pot , .wma , .eml , .potx , .wmv , .Floride , .ppam , .xlc , .flv , .pp , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .TVP , .xlw , .pot , .rar , .Zip *: français , .Java , .cru

Il les renomme ensuite en ajoutant «.WNCRY" au nom du fichier

WannaCry a une capacité de propagation rapide

La fonctionnalité de ver dans WannaCry lui permet d'infecter des machines Windows non corrigées dans le réseau local. Dans le même temps, il exécute également une analyse massive des adresses IP Internet pour trouver et infecter d'autres PC vulnérables. Cette activité génère des données de trafic SMB volumineuses provenant de l'hôte infecté et peut être facilement suivie par le personnel SecOps.

Une fois que WannaCry a réussi à infecter une machine vulnérable, il l'utilise pour infecter d'autres PC. Le cycle se poursuit, car le routage d'analyse découvre des ordinateurs non corrigés.

Comment se protéger contre WannaCry

1. Microsoft recommande mise à niveau vers Windows 10 car il est équipé des dernières fonctionnalités et des mesures d'atténuation proactives.
2. Installez le mise à jour de sécurité MS17-010 publié par Microsoft. La société a également publié des correctifs de sécurité pour les versions de Windows non prises en charge telles que Windows XP, Windows Server 2003, etc.
3. Il est conseillé aux utilisateurs de Windows d'être extrêmement prudents vis-à-vis des e-mails de phishing et d'être très prudents lors de ouvrir les pièces jointes de l'e-mail ou en cliquant sur des liens Web.
4. Faire sauvegardes et les conserver en toute sécurité
5. Antivirus Windows Defender détecte cette menace comme Rançon:Win32/WannaCrypt alors activez, mettez à jour et exécutez Windows Defender Antivirus pour détecter ce ransomware.
6. Profitez de certains Outils anti-WannaCry Ransomware.
7. EternalBlue Vulnerability Checker est un outil gratuit qui vérifie si votre ordinateur Windows est vulnérable à Exploit d'EternalBlue.
8. Désactiver SMB1 avec les étapes documentées à KB2696547.
9. Pensez à ajouter une règle sur votre routeur ou pare-feu pour bloquer le trafic SMB entrant sur le port 445
10. Les utilisateurs d'entreprise peuvent utiliser Protection de l'appareil pour verrouiller les appareils et fournir une sécurité basée sur la virtualisation au niveau du noyau, permettant uniquement aux applications de confiance de s'exécuter.

Pour en savoir plus sur ce sujet lisez le blog Technet.

WannaCrypt a peut-être été arrêté pour le moment, mais vous pouvez vous attendre à ce qu'une nouvelle variante frappe plus furieusement, alors restez en sécurité.

Les clients Microsoft Azure voudront peut-être lire les conseils de Microsoft sur la façon d'éviter la menace WannaCrypt Ransomware.

METTRE À JOUR: Les décrypteurs WannaCry Ransomware sont disponibles. Dans des conditions favorables, WannaKey et WanaKiwi, deux outils de décryptage peuvent aider à décrypter les fichiers cryptés WannaCrypt ou WannaCry Ransomware en récupérant la clé de cryptage utilisée par le ransomware.