Il y a quelques jours, une épidémie du Ransomware WannaCry a été signalée. Et il semble que l’épidémie soit globale. Nous appelons cela une épidémie parce que l’étendue de la menace est énorme. Nous avons compté plus de 45 000 cas en une seule journée. Mais en réalité, le nombre de victimes est nettement plus élevé.
Qu’est-il arrivé?
Plusieurs grandes organisations ont signalé simultanément une infection. Parmi les organisations figuraient notamment plusieurs hôpitaux britanniques qui ont dû suspendre leurs opérations. Selon les données publiées par des tiers, WannaCry a infecté plus de 100 000 ordinateurs. C’est pourquoi il a attiré autant l’attention.
Le plus grand nombre d’attaques a eu lieu en Russie, mais l’Ukraine, l’Inde et Taiwan ont également subi des dégâts importants. Dans l’ensemble, nous avons découvert WannaCry dans 74 pays. Et ce n’était que le premier jour de l’attaque.
Qu’est-ce que WannaCry ?
WannaCry vient en deux parties. Tout d’abord, c’est un exploit qui a pour but l’infection et la propagation. Et la deuxième partie est un ‘crypteur‘ qui est téléchargé sur l’ordinateur après sa contamination.
C’est la principale différence entre WannaCry et la plupart des autres Ransomware. Pour être infecté par un crypteur ‘basique’, l’utilisateur doit faire une erreur. Par exemple, cliquer sur un lien suspect, permettant à Word d’exécuter une macro malveillante ou télécharger une pièce jointe suspecte à partir d’un message électronique. Mais dans ce cas-ci, votre système peut être infecté par WannaCry sans que vous n’ayez fait quoi que ce soit.
WannaCry : Exploit et Propagation
Les créateurs de WannaCry ont profité de l’exploit de Windows connu sous le nom de « EternalBlue », exploitant une vulnérabilité que Microsoft a corrigé dans la MAJ MS17-010 datée du 14 mars de l’année en cours. En utilisant l’exploit, les malfaiteurs peuvent avoir accès à distance aux ordinateurs et installer le crypteur.
Si vous avez installé la mise à jour au préalable, avant d’être potentiellement infecté, vous ne risquez rien. Cependant, les chercheurs du GReAT de Kaspersky Lab (Global Research & Analysis Team) souhaitent souligner que la correction de la vulnérabilité n’empêchera pas le crypteur de fonctionner s’il est déjà installé sur votre système. Par conséquent, si vous le lancez, alors le patch ne vous aidera d’aucune manière.
Après avoir piraté un ordinateur avec succès, WannaCry tente de se répandre via le réseau local sur d’autres ordinateurs, à la manière d’un ver informatique. Le crypteur scanne d’autres ordinateurs à la recherche de la même vulnérabilité qui peut être exploitée avec l’aide d’EternalBlue. Lorsque WannaCry trouve une machine vulnérable, il attaque et crypte les fichiers.
Il s’avère qu’en infectant un ordinateur, WannaCry peut infecter un réseau local entier et chiffrer tous les ordinateurs du réseau. C’est pourquoi les grandes entreprises ont le plus souffert de l’attaque : plus les ordinateurs sont disponibles sur le réseau, plus les dégâts sont importants.
WannaCry: Encryptor
En tant que ransomware, WannaCry (parfois appelé WCrypt ou WannaCry Decryptor, même si, logiquement, c’est un crypteur, et non un décrypteur) fait la même chose que les autres : Il chiffre des fichiers sur un ordinateur et exige une rançon pour les déchiffrer. Il ressemble à une variation du cheval de Troie CryptXXX.
WannaCry crypte des fichiers de différents types (la liste complète se trouve ici), qui incluent évidemment des documents de bureau, des images, des vidéos, des archives et d’autres formats de fichiers susceptibles de contenir potentiellement des données critiques pour les utilisateurs. Les extensions des fichiers chiffrés sont renommées à .WCRY ( le nom du crypteur), et les fichiers deviennent complètement inaccessibles.
Après cela, le cheval de Troie modifie le fond d’écran du bureau par une image qui contient des informations sur l’infection et les actions que l’utilisateur doit supposément effectuer afin de récupérer les fichiers. WannaCry diffuse les notifications en tant que fichier texte avec les mêmes informations sur les dossiers et sur l’ordinateur afin de s’assurer que l’utilisateur reçoit définitivement le message.
Comme d’habitude, tout se résume à transférer une certaine quantité de bitcoin équivalent, au portefeuille des méchants. Après cela, ils décrypteront (probablement) tous les fichiers. Initialement, les cybercriminels ont demandé 300 $, mais ont décidé de relever les tarifs : les dernières versions de WannaCry réclament une rançon de 600 $.
Ils intimident également l’utilisateur en indiquant que le montant de la rançon sera augmenté dans 3 jours et, en outre, qu’il sera impossible de décrypter les fichiers au-delà de 7 jours. Nous recommandons de ne pas payer la rançon aux malfaiteurs, car personne ne peut garantir qu’ils décrypteront vos fichiers après avoir reçu la rançon. En fait, les chercheurs ont montré que d’autres ‘cyber-rançonneur’ supprimaient parfois simplement les données d’utilisateur, ce qui signifie qu’aucune possibilité physique de déchiffrer les fichiers ne subsiste, bien que les malfaiteurs exigent encore la rançon comme si rien ne s’était passé.
Comment l’enregistrement du domaine a suspendu l’infection et pourquoi l’épidémie n’est probablement pas encore terminée ?
Un chercheur du nom de Malwaretech a réussi à suspendre l’infection en enregistrant un domaine avec un nom long et absolument absurde en ligne.
Il s’est avéré que certaines versions de WannaCry abordaient ce domaine et si elles n’avaient pas reçu de réponse positive, elles installaient le crypteur. S’il y avait une réponse (c’est-à-dire que le domaine avait été enregistré), le logiciel malveillant arrêtait toutes ses activités.
Après avoir trouvé la référence à ce domaine dans le code Trojan, le chercheur a enregistré le domaine, suspendant ainsi l’attaque. Pour le reste de la journée, le domaine a été abordé plusieurs dizaines de milliers de fois, ce qui signifie que plusieurs dizaines de milliers d’ordinateurs ont été sauvegardés après avoir été infectés.
Il existe une théorie selon laquelle cette fonctionnalité a été intégrée dans WannaCry comme un « disjoncteur » au cas où quelque chose ne va pas. Une autre théorie qui est respectée par le chercheur lui-même est que c’est un moyen de compliquer l’analyse du comportement du malware.
Malheureusement, pour les nouvelles versions du cheval de Troie, il suffit pour les malfaiteurs de modifier le nom de domaine indiqué comme « disjoncteur » pour reprendre l’infection. Par conséquent, il est très probable que le premier jour de l’épidémie de WannaCry ne soit pas le dernier.
Comment se défendre contre WannaCry ?
Malheureusement, il n’y a actuellement rien qui puisse être fait pour déchiffrer les fichiers chiffrés par WannaCry (cependant, nos chercheurs y travaillent). Cela signifie que la seule méthode pour lutter contre l’infection est de ne pas être infecté en premier lieu.
Voici plusieurs conseils sur la façon d’éviter les infections et de minimiser les dégâts.
- Si vous avez déjà installé une solution de sécurité Kaspersky Lab sur votre système, nous vous recommandons de procéder comme suit: exécutez manuellement une analyse pour les zones critiques et si la solution détecte un logiciel malveillant comme MEM: Trojan.Win64.EquationDrug.gen (Voilà comment nos solutions anti-virus détectent WannaCry), alors vous devez redémarrer votre système.
- Si vous êtes notre client, gardez le ‘Surveillance du système actif’ (Dans Kaspersky Internet Security 2017, ouvrez la fenêtre Paramètres, dans Paramètres, accédez à la section Protection.
Dans la partie droite de la fenêtre Paramètres, vous pouvez activer ou désactiver le composant en cliquant sur le bouton) il est essentiel de lutter contre de nouvelles variétés de logiciels malveillants qui pourraient émerger. - Installez les mises à jour logicielles. Cette affaire demande sérieusement à installer la mise à jour de sécurité du système MS17-010 pour tous les utilisateurs de Windows, en particulier lorsque Microsoft l’a même publié pour des systèmes qui ne sont plus pris en charge par Microsoft, tels que Windows XP ou Windows 2003. Sérieusement, installez-le dès maintenant. C’est exactement le moment où c’est vraiment important.
- Créez régulièrement des copies de sauvegarde de fichiers et enregistrez les copies sur des périphériques de stockage qui ne sont pas constamment connectés à l’ordinateur. S’il existe une copie de sauvegarde récente, l’infection du crypteur n’est pas une catastrophe, mais une perte de plusieurs heures consacrée à la réinstallation du système. Si vous n’avez pas envie de créer des sauvegardes par vous-même, vous pouvez profiter d’une fonctionnalité de sauvegarde intégrée à Kaspersky Total Security qui peut automatiser le processus.
- Utilisez un anti-virus fiable. Kaspersky Internet Security peut détecter WannaCry à la fois localement et pendant les tentatives de diffusion sur un réseau. De plus, Surveillance du système, un module intégré, a pour fonction de bloquer les modifications indésirables, ce qui signifie qu’il empêchera le cryptage des fichiers, même pour les versions malveillantes qui ne sont pas encore dans les bases de données antivirus.
Pour savoir comment WannaCry peut affecter votre entreprise, et connaitre nos conseils pour la protéger, c’est par ici.