![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/05\/06093759\/2017-04-26-horse.jpg\")
<\/p>\nIl y a quelques jours, une \u00e9pid\u00e9mie du Ransomware WannaCry a \u00e9t\u00e9 signal\u00e9e. Et il semble que l\u2019\u00e9pid\u00e9mie soit globale. Nous appelons cela une \u00e9pid\u00e9mie parce que l\u2019\u00e9tendue de la menace est \u00e9norme. Nous avons compt\u00e9 plus de 45 000 cas en une seule journ\u00e9e. Mais en r\u00e9alit\u00e9, le nombre de victimes est nettement plus \u00e9lev\u00e9.<\/p>\n
<\/p>\n
Qu\u2019est-il arriv\u00e9?<\/strong><\/p>\n Plusieurs grandes organisations ont signal\u00e9 simultan\u00e9ment une infection. Parmi les organisations figuraient notamment plusieurs h\u00f4pitaux britanniques qui ont d\u00fb suspendre leurs op\u00e9rations. Selon les donn\u00e9es publi\u00e9es par des tiers, WannaCry a infect\u00e9 plus de 100 000 ordinateurs. C\u2019est pourquoi il a attir\u00e9 autant l\u2019attention.<\/p>\n Le plus grand nombre d\u2019attaques a eu lieu en Russie, mais l\u2019Ukraine, l\u2019Inde et Taiwan ont \u00e9galement subi des d\u00e9g\u00e2ts importants. Dans l\u2019ensemble, nous avons d\u00e9couvert WannaCry dans 74 pays. Et ce n\u2019\u00e9tait que le premier jour de l\u2019attaque.<\/p>\n Qu\u2019est-ce que WannaCry ?<\/strong><\/p>\n WannaCry vient en deux parties. Tout d\u2019abord, c\u2019est un exploit qui a pour but l\u2019infection et la propagation. Et la deuxi\u00e8me partie est un \u2018crypteur<\/a>\u2018 qui est t\u00e9l\u00e9charg\u00e9 sur l\u2019ordinateur apr\u00e8s sa contamination.<\/p>\n C\u2019est la principale diff\u00e9rence entre WannaCry et la plupart des autres Ransomware. Pour \u00eatre infect\u00e9 par un crypteur \u2018basique\u2019, l\u2019utilisateur doit faire une erreur. Par exemple, cliquer sur un lien suspect, permettant \u00e0 Word d\u2019ex\u00e9cuter une macro malveillante ou t\u00e9l\u00e9charger une pi\u00e8ce jointe suspecte \u00e0 partir d\u2019un message \u00e9lectronique. Mais dans ce cas-ci, votre syst\u00e8me peut \u00eatre infect\u00e9 par WannaCry sans que vous n\u2019ayez fait quoi que ce soit.<\/p>\n WannaCry : Exploit et Propagation<\/strong><\/p>\n Les cr\u00e9ateurs de WannaCry ont profit\u00e9 de l\u2019exploit<\/a> de Windows connu sous le nom de \u00ab\u00a0EternalBlue\u00a0\u00bb, exploitant\u00a0une vuln\u00e9rabilit\u00e9 que Microsoft a corrig\u00e9 dans la MAJ MS17-010 dat\u00e9e du 14 mars de l\u2019ann\u00e9e en cours<\/a>. En utilisant l\u2019exploit, les malfaiteurs peuvent avoir acc\u00e8s \u00e0 distance aux ordinateurs et installer le crypteur.<\/p>\n Si vous avez install\u00e9 la mise \u00e0 jour au pr\u00e9alable, avant d\u2019\u00eatre potentiellement infect\u00e9, vous ne risquez rien. Cependant, les chercheurs du GReAT de Kaspersky Lab (Global Research & Analysis Team) souhaitent souligner que la correction de la vuln\u00e9rabilit\u00e9 n\u2019emp\u00eachera pas le crypteur de fonctionner<\/a>\u00a0s\u2019il est d\u00e9j\u00e0 install\u00e9 sur votre syst\u00e8me. Par cons\u00e9quent, si vous le lancez, alors le patch ne vous aidera d\u2019aucune mani\u00e8re.<\/p>\n Apr\u00e8s avoir pirat\u00e9 un ordinateur avec succ\u00e8s, WannaCry tente de se r\u00e9pandre via le r\u00e9seau local sur d\u2019autres ordinateurs, \u00e0 la mani\u00e8re d\u2019un ver informatique. Le crypteur scanne d\u2019autres ordinateurs \u00e0 la recherche de la m\u00eame vuln\u00e9rabilit\u00e9 qui peut \u00eatre exploit\u00e9e avec l\u2019aide d\u2019EternalBlue. Lorsque WannaCry trouve une machine vuln\u00e9rable, il attaque et crypte les fichiers.<\/p>\n Il s\u2019av\u00e8re qu\u2019en infectant un ordinateur, WannaCry peut infecter un r\u00e9seau local entier et chiffrer tous les ordinateurs du r\u00e9seau. C\u2019est pourquoi les grandes entreprises ont le plus souffert de l\u2019attaque : plus les ordinateurs sont disponibles sur le r\u00e9seau, plus les d\u00e9g\u00e2ts sont importants.<\/p>\n WannaCry: Encryptor<\/strong><\/p>\n En tant que ransomware, WannaCry (parfois appel\u00e9 WCrypt ou WannaCry Decryptor, m\u00eame si, logiquement, c\u2019est un crypteur, et non un d\u00e9crypteur) fait la m\u00eame chose que les autres : Il chiffre des fichiers sur un ordinateur et exige une ran\u00e7on pour les d\u00e9chiffrer. Il ressemble \u00e0 une variation du cheval de Troie CryptXXX<\/a>.<\/p>\n WannaCry crypte des fichiers de diff\u00e9rents types (la liste compl\u00e8te se trouve ici<\/a>), qui incluent \u00e9videmment des documents de bureau, des images, des vid\u00e9os, des archives et d\u2019autres formats de fichiers susceptibles de contenir potentiellement des donn\u00e9es critiques pour les utilisateurs. Les extensions des fichiers chiffr\u00e9s sont renomm\u00e9es \u00e0 .WCRY ( le nom du crypteur), et les fichiers deviennent compl\u00e8tement inaccessibles.<\/p>\n Apr\u00e8s cela, le cheval de Troie modifie le fond d\u2019\u00e9cran du bureau par une image qui contient des informations sur l\u2019infection et les actions que l\u2019utilisateur doit suppos\u00e9ment effectuer afin de r\u00e9cup\u00e9rer les fichiers. WannaCry diffuse les notifications en tant que fichier texte avec les m\u00eames informations sur les dossiers et sur l\u2019ordinateur afin de s\u2019assurer que l\u2019utilisateur re\u00e7oit d\u00e9finitivement le message.<\/p>\n Comme d\u2019habitude, tout se r\u00e9sume \u00e0 transf\u00e9rer une certaine quantit\u00e9 de bitcoin \u00e9quivalent, au portefeuille des m\u00e9chants. Apr\u00e8s cela, ils d\u00e9crypteront (probablement) \u00a0tous les fichiers. Initialement, les cybercriminels ont demand\u00e9 300 $, mais ont d\u00e9cid\u00e9 de relever les tarifs : les derni\u00e8res versions de WannaCry r\u00e9clament\u00a0une ran\u00e7on de 600 $.<\/p>\n Ils intimident \u00e9galement l\u2019utilisateur en indiquant que le montant de la ran\u00e7on sera augment\u00e9 dans 3 jours et, en outre, qu\u2019il sera impossible de d\u00e9crypter les fichiers au-del\u00e0 de 7 jours. Nous recommandons de ne pas payer la ran\u00e7on aux malfaiteurs, car personne ne peut garantir qu\u2019ils d\u00e9crypteront vos fichiers apr\u00e8s avoir re\u00e7u la ran\u00e7on. En fait, les chercheurs ont montr\u00e9 que d\u2019autres \u2018cyber-ran\u00e7onneur\u2019\u00a0supprimaient parfois simplement les donn\u00e9es d\u2019utilisateur<\/a>, ce qui signifie qu\u2019aucune possibilit\u00e9 physique de d\u00e9chiffrer les fichiers ne subsiste, bien que les malfaiteurs exigent encore la ran\u00e7on comme si rien ne s\u2019\u00e9tait pass\u00e9.<\/p>\n Comment l\u2019enregistrement du domaine a suspendu l\u2019infection et pourquoi l\u2019\u00e9pid\u00e9mie n\u2019est probablement pas encore termin\u00e9e ?<\/strong><\/p>\n Un chercheur du nom de Malwaretech<\/a> a r\u00e9ussi \u00e0 suspendre l\u2019infection en enregistrant un domaine avec un nom long et absolument absurde en ligne.<\/p>\n Il s\u2019est av\u00e9r\u00e9 que certaines versions de WannaCry abordaient ce domaine et si elles n\u2019avaient pas re\u00e7u de r\u00e9ponse positive, elles installaient le crypteur. S\u2019il y avait une r\u00e9ponse (c\u2019est-\u00e0-dire que le domaine avait \u00e9t\u00e9 enregistr\u00e9), le logiciel malveillant arr\u00eatait toutes ses activit\u00e9s.<\/p>\n Apr\u00e8s avoir trouv\u00e9 la r\u00e9f\u00e9rence \u00e0 ce domaine dans le code Trojan, le chercheur a enregistr\u00e9 le domaine, suspendant ainsi l\u2019attaque. Pour le reste de la journ\u00e9e, le domaine a \u00e9t\u00e9 abord\u00e9 plusieurs dizaines de milliers de fois, ce qui signifie que plusieurs dizaines de milliers d\u2019ordinateurs ont \u00e9t\u00e9 sauvegard\u00e9s apr\u00e8s avoir \u00e9t\u00e9 infect\u00e9s.<\/p>\n Il existe une th\u00e9orie selon laquelle cette fonctionnalit\u00e9 a \u00e9t\u00e9 int\u00e9gr\u00e9e dans WannaCry comme un \u00ab\u00a0disjoncteur\u00a0\u00bb au cas o\u00f9 quelque chose ne va pas. Une autre th\u00e9orie qui est respect\u00e9e par le chercheur lui-m\u00eame est que c\u2019est un moyen de compliquer l\u2019analyse du comportement du malware.<\/p>\n Malheureusement, pour les nouvelles versions du cheval de Troie, il suffit pour les malfaiteurs de modifier le nom de domaine indiqu\u00e9 comme \u00ab\u00a0disjoncteur\u00a0\u00bb pour reprendre l\u2019infection. Par cons\u00e9quent, il est tr\u00e8s probable que le premier jour de l\u2019\u00e9pid\u00e9mie de WannaCry ne soit pas le dernier.<\/p>\n Comment se d\u00e9fendre contre WannaCry ?<\/strong><\/p>\n Malheureusement, il n\u2019y a actuellement rien qui puisse \u00eatre fait pour d\u00e9chiffrer les fichiers chiffr\u00e9s par WannaCry (cependant, nos chercheurs y travaillent). Cela signifie que la seule m\u00e9thode pour lutter contre l\u2019infection est de ne pas \u00eatre infect\u00e9 en premier lieu.<\/p>\n Voici plusieurs conseils sur la fa\u00e7on d\u2019\u00e9viter les infections et de minimiser les d\u00e9g\u00e2ts.<\/p>\n\n
\nDans la partie droite de la fen\u00eatre Param\u00e8tres, vous pouvez activer ou d\u00e9sactiver le composant en cliquant sur le bouton) il est essentiel de lutter contre de nouvelles vari\u00e9t\u00e9s de logiciels malveillants qui pourraient \u00e9merger.<\/li>\n\n