Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  01.06.2024      r-  15.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le 12 mai 2017, une vague mondiale de cyberattaques frappe tous les ordinateurs, individuels ou réseaux d'entreprise, sans aucune distinction. Il n'y a pas de cibles particulières visées. Seule la présence d'une faille de sécurité dans les systèmes d'exploitation Microsoft Windows est recherchée. Si elle est trouvée, aucune manipulation de l'utilisateur n'est nécessaire (il n'est pas besoin de cliquer sur un lien, d'ouvrir une publicité piégée ou d'ouvrir une pièce jointe à un email. Des hôpitaux, des entreprises et des administrations sont touchés dans le monde entier en quelques minutes.

L'attaque est le fait d'une malveillance de la classe des ransomware, ou rançongiciel (logiciel bloquant totalement l'usage d'un ordinateur et demandant le paiement d'une rançon pour en retrouver (peut-être) l'usage).

Dans le cas présent, le ransomware (ou rançongiciel ) est nommé de diverses manières : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, etc. WanaCrypt0r semble le nommage le plus usité.

Ce ransomware (ou rançongiciel ) est de la sous-classe des cryptowares.

Alerte du 12.05.2017

ALERTE : Propagation d'un rançongiciel appelé WanaCrypt (ou WanaCrypt0r) exploitant les vulnérabilités MS17-010 (12 mai 2017)

Version initiale de l'alerte
12 mai 2017

1 - Risque(s)
Installation d'un logiciel malveillant de type rançongiciel ( Ransomware ).
Le Ransomware est nommé de diverses manières : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ...
WanaCrypt0r semble le nommage le plus usité.

2 - Systèmes affectés
Tous les systèmes d'exploitation Windows peuvent être victimes de ce logiciel malveillant.

3 - Résumé
Ce nouveau ransomware exploite des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 (rappel ci-dessous).

4 - Contournement Provisoire
Application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010).

De manière préventive, s'il n'est pas possible de mettre à jour un serveur, il est recommandé de l'isoler logiquement, voir de l'éteindre le temps d'appliquer les mesures adaptées de protection.

Mesures réactives
Si le code malveillant est découvert sur vos systèmes, déconnectez immédiatement du réseau toutes les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Alerter le responsable sécurité ou le service informatique au plus tôt.

Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tel. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes (utilisez des supports de sauvegardes neufs et vierges). Les sauvegardes antérieures ne doivent pas être connectées sur les machines contaminées dans le but de reconstituer les fichiers avant contamination : les sauvegardes seraient chiffrées (cryptées) à leur tour et totalement inexploitables (perdues).

Documentation
Rappel de l'avis :

1 - Risque(s)
exécution de code arbitraire à distance
déni de service
contournement de la politique de sécurité
atteinte à la confidentialité des données
élévation de privilèges

2 - Systèmes affectés
Windows Vista
Windows 7
Windows 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows RT 8.1
Windows Server 2016

3 - Résumé
De multiples vulnérabilités ont été corrigées dans Microsoft Windows. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.

4 - Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 - Documentation
Bulletin de sécurité Microsoft MS17-012 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-012

Bulletin de sécurité Microsoft MS17-008 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-008

Bulletin de sécurité Microsoft MS17-009 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-009

Bulletin de sécurité Microsoft MS17-010 du 14 mars 2017 - Security Update for Microsoft Windows SMB Server (4013389)
https://technet.microsoft.com/fr-fr/library/security/MS17-010

Bulletin de sécurité Microsoft MS17-011 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-011

Bulletin de sécurité Microsoft MS17-013 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-013

Bulletin de sécurité Microsoft MS17-015 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-015

Bulletin de sécurité Microsoft MS17-016 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-016

Bulletin de sécurité Microsoft MS17-017 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-017

Bulletin de sécurité Microsoft MS17-018 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-018

Bulletin de sécurité Microsoft MS17-019 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-019

Bulletin de sécurité Microsoft MS17-020 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-020

Bulletin de sécurité Microsoft MS17-021 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-021

Bulletin de sécurité Microsoft MS17-022 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-022

Référence CVE CVE-2017-0110
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0110

Référence CVE CVE-2017-0007
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0007

Référence CVE CVE-2017-0016
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0016

Référence CVE CVE-2017-0039
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0039

Référence CVE CVE-2017-0057
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0057

Référence CVE CVE-2017-0100
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0100

Référence CVE CVE-2017-0104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0104

Référence CVE CVE-2017-0021
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0021

Référence CVE CVE-2017-0051
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0051

Référence CVE CVE-2017-0074
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0074

Référence CVE CVE-2017-0075
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0075

Référence CVE CVE-2017-0076
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0076

Référence CVE CVE-2017-0095
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0095

Référence CVE CVE-2017-0096
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0096

Référence CVE CVE-2017-0097
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0097

Référence CVE CVE-2017-0098
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0098

Référence CVE CVE-2017-0099
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0099

Référence CVE CVE-2017-0109
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0109

Référence CVE CVE-2017-0023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0023

Référence CVE CVE-2017-0143
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143

Référence CVE CVE-2017-0144
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144

Référence CVE CVE-2017-0145
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145

Référence CVE CVE-2017-0146
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0146

Référence CVE CVE-2017-0147
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0147

Référence CVE CVE-2017-0148
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0148

Référence CVE CVE-2017-0072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0072

Référence CVE CVE-2017-0083
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0083

Référence CVE CVE-2017-0084
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0084

Référence CVE CVE-2017-0085
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0085

Référence CVE CVE-2017-0086
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0086

Référence CVE CVE-2017-0087
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0087

Référence CVE CVE-2017-0088
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0088

Référence CVE CVE-2017-0089
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0089

Référence CVE CVE-2017-0090
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0090

Référence CVE CVE-2017-0091
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0091

Référence CVE CVE-2017-0092
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0092

Référence CVE CVE-2017-0111
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0111

Référence CVE CVE-2017-0112
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0112

Référence CVE CVE-2017-0113
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0113

Référence CVE CVE-2017-0114
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0114

Référence CVE CVE-2017-0115
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0115

Référence CVE CVE-2017-0116
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0116

Référence CVE CVE-2017-0117
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0117

Référence CVE CVE-2017-0118
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0118

Référence CVE CVE-2017-0119
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0119

Référence CVE CVE-2017-0120
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0120

Référence CVE CVE-2017-0121
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0121

Référence CVE CVE-2017-0122
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0122

Référence CVE CVE-2017-0123
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0123

Référence CVE CVE-2017-0124
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0124

Référence CVE CVE-2017-0125
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0125

Référence CVE CVE-2017-0126
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0126

Référence CVE CVE-2017-0127
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0127

Référence CVE CVE-2017-0128
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0128

Référence CVE CVE-2017-0001
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0001

Référence CVE CVE-2017-0005
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0005

Référence CVE CVE-2017-0014
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0014

Référence CVE CVE-2017-0025
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0025

Référence CVE CVE-2017-0038
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0038

Référence CVE CVE-2017-0047
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0047

Référence CVE CVE-2017-0060
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0060

Référence CVE CVE-2017-0061
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0061

Référence CVE CVE-2017-0062
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0062

Référence CVE CVE-2017-0063
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0063

Référence CVE CVE-2017-0073
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0073

Référence CVE CVE-2017-0108
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0108

Référence CVE CVE-2017-0055
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0055

Référence CVE CVE-2017-0050
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0050

Référence CVE CVE-2017-0101
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0101

Référence CVE CVE-2017-0102
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0102

Référence CVE CVE-2017-0103
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0103

Référence CVE CVE-2017-0024
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0024

Référence CVE CVE-2017-0026
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0026

Référence CVE CVE-2017-0056
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0056

Référence CVE CVE-2017-0078
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0078

Référence CVE CVE-2017-0079
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0079

Référence CVE CVE-2017-0080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0080

Référence CVE CVE-2017-0081
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0081

Référence CVE CVE-2017-0082
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0082

Référence CVE CVE-2017-0043
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0043

Référence CVE CVE-2017-0045
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0045

Référence CVE CVE-2017-0042
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0042

Référence CVE CVE-2017-0022
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0022

Comment se présente WanaCrypt0r (WannaCrypt)

Le montant de la demande de rançon est de 300 US$ payable uniquement en Bitcoin sous trois jours.
Si le paiement n'intervient pas dans les trois jours de l'infection, la rançon double (600 US$).
Si le paiement n'intervient pas dans les 7 jours, le décrypteur est détruit. Les fichiers chiffrés sont perdus à tout jamais (il n'y a pas de contournement/déchiffrement possible connu à ce jour - gardez vos fichiers pour le cas où un outil de déchiffrement serait trouvé).

Protection

Les particuliers et utilisateurs finaux (mono ordinateur), comme les entreprises (réseaux d'ordinateurs) doivent impérativement et immédiatement s'assurer que leurs systèmes d'exploitation et leurs logiciels sont mis à jour avec tous les correctifs actuels afin d'empêcher la propagation de l'infection. Activez / utilisez Windows Update et paramétrez-le, une bonne fois pour toutes, en mode automatique.

Si les mises à jour avaient été effectuées dès le Patch Tuesday du 09 mai 2017, il n'y aurait eu aucun ordinateur compromis.

Si un anti-malware comme Malwarebytes Premium ou Emsisoft avait été installé, la malveillance n'aurait pas pu s'installer ni s'attaquer aux fichiers.

  • Malwarebytes Premium (pour les utilisateurs finaux, les particuliers, les professions libérales, les mono ordinateurs) et Malwarebytes Endpoint Security (pour les réseaux informatiques d'entreprises), offrent déjà une protection proactive contre cette menace. La technologie anti-exploit, sans base de signature, de Malwarebytes, bloque le vecteur d'infection, tandis que la technologie anti-malware de Malwarebytes bloque l'exécution de la charge utile, en amont de l'infection. La technologie anti-ransomware de Malwarebytes empêche les fichiers des utilisateurs d'être chiffrés et arrêtera toute future variante, à ce jour inconnue, du cryptoware.

  • Emsisoft Anti-Malwares et Emsisoft Internet Security n'auraient pas permis à WanaCrypt - WanaCrypt0r de s'activer et chiffrer les fichiers des utilisateurs.

Nota :
Le fonctionnement de WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ... est le suivant :

  1. Il crée une copie du fichier
  2. Il crypte la copie
  3. Il détruit l'original

Il s'attaque à tous les fichiers qui ont les extensions suivantes :

.123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw.

N'écrivez rien sur un disque chiffré par un Ransomware. Surtout, ne pas le défragmenter.

Fort de la manière dont l'attaque a eu lieu, vous pouvez tenter de récupérer les fichiers supprimés et non cryptés, après avoir détruit le cryptoware, dont il reste des traces sur les surfaces magnétiques, avec les outils habituels comme Recuva.
Pas trop d'espoirs tout de même car la création d'une copie d'un fichier (pour le crypter) a de grandes chances de se faire en écrasant le contenu des clusters libérés par les destructions précédentes des originaux, une fois le chiffrage de la copie terminée.

Propagation de l'attaque :

Dès le 12.05.2017, l'attaque aurait fait plus de 200.000 victimes dans 150 pays. Beaucoup de victimes sont des entreprises avec des centaines ou des milliers de postes de travail, ce qui met sous le feu des projecteurs la résistance des entreprises à changer de systèmes d'exploitation (et a aimer, par exemple, Windows XP, des années après l'arrêt de la maintenance de cette version de WIndows). Les entreprises ne veulent pas d'un système d'exploitation gadgétisé et bourré de dispositifs espions, comme l'est Windows 10.

L'attaque a été extrêmement freinée, totalement par hasard, lorsqu'un jeune chercheur anglais de 22 ans (pseudo : MalwareTech), faisant du reverse engineering (rétro-ingénierie) du code de WanaCryptWanaCrypt0r, s'est aperçu de la présence d'un nom de domaine, dans le code, en clair, pas même obscurci (crypté - obfusqué). Ce domaine n'existant pas, il l'a acheté (un investissement de 10,69 US$) dès vendredi 12.05.2017. Ceci a agit comme un bouton d'arrêt d'urgence (un « Kill Switch ») de la charge utile du cryptoware (pas de la propagation du cryptoware, qui continue, mais désormais dans le vide (le malveillance croit être dans une sandbox et ne va pas plus loin). Un truc qu'avait prévu le cybercriminel, mais qu'il ne pensait sans doute pas pouvoir être découvert.

Le cybercriminel derrière ce cryptoware utilise des réseaux de machines zombies (des ordinateurs infectés à l'insu de leurs propriétaires et utilisés par les cybercriminels qui louent le « service » de BotNets.

Le chercheur MalwareTech explique sa démarche ici :
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Surveillance de la virulence de WanaCrypt - WanaCrypt0r :

Le chercheur MalwareTech, ayant découvert un « Kill Switch » (un « bouton d'arrêt d'urgence » du cryptoware, dans le code de WannaCry [WanaCrypt0r]), sous la forme d'un nom de domaine qui n'existe pas, achète ce nom de domaine le jour même du lancement de l'attaque (vendredi 12.05.2017) et le dirige vers ses infrastructures de surveillance. La déclaration « normale » d'achat d'un nom de domaine est accompagnée, ensuite, de la désignation « normale » de l'adresse IP où est hébergé ce domaine. Cette information est gérée par les serveurs DNS répartis sur toute la planète : ils font le rapprochement entre un nom de domaine (du simple texte dont ne sait que faire l'Internet) et son adresse IP (ça, sa parle !). Faites un Whois sur n'importe quel nom de domaine existant et vous verrez apparaître son adresse IP. Pour en savoir plus, voir le schéma de principe de HOSTS et DNS - Résolution des noms de domaine.

  • On peut s'interroger sur la présence de cette requête vers un nom de domaine qui n'existe pas. L'une des raisons pourrait être que le cybercriminel a voulu tromper les analyses robotisées en recherche de comportement malveillant et, ainsi, retarder de plusieurs heures la découverte de la charge utile. Ces analyses reposent sur des sandbox pour analyser le comportement des objets actifs (scripts, codes de programmes, etc.). La sandbox aurait regardé cette requête externe, ne l'aurait pas effectuée mais aurait répondu « Réussite », ce qui aurait mis la puce à l'oreille du cryptoware qui se serait arrêté pour ne pas permettre à la sandbox d'observer sa charge utile. Seulement voila, c'est un humain qui a mis son nez dedans !

  • Les victimes comptées par les HoneyPots sont celles qui font appel à la résolution de nom de domaine et chez qui WanaCrypt - WanaCrypt0r s'arrête. Ce ne sont donc pas des nombres de victimes qui sont décomptés mais des nombres d'échecs de WanaCrypt - WanaCrypt0r.

  • On reste ébahi par le nombre de machines non patchées, dans le monde entier, depuis les petits paradis que sont les îles les plus reculées, aux pays les plus peuplés et consommateurs de nouvelles technologies. A quoi sert-il de répéter sans cesse, depuis que le Web existe sur l'Internet, de mettre ses systèmes d'exploitation et ses applications à jour, à chaque instant. Paramétrez vos Windows Update en mode automatique.

Après cette désignation d'adresse IP à un serveur DNS, vendredi 12.05.2017, il faut environ 24 à 48 heures pour que cette information se propage à travers tous les serveurs DNS du monde.

L'infrastructure de MalwareTech est constituée de serveurs DNS utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant la requête vers le « Kill Switch » donne son emplacement géographique, ce qui permet ces cartographies.

Depuis la mise en place de la redirection de ce nom de domaine, chaque WanaCrypt - WanaCrypt0r contaminant une machine et utilisant ce « Kill Switch » (il y a désormais de nouvelles versions de WanaCrypt - WanaCrypt0r qui n'utilisent plus ce « Kill Switch » et ne sont donc pas détectées de cette manière), fait un « ping » sur les « SinkHole » de MalwareTech (demande de résolution de nom de domaine sur un serveur DNS de l'infrastructure MalwareTech) et peut donc être comptabilisé. Mais, ce qui est comptabilisé est la virulence de WanaCrypt - WanaCrypt0r : ce sont les machines sur lesquelles la version de WanaCrypt - WanaCrypt0r (la première version) ne va pas pouvoir s'exécuter - ce sont les machines protégées par la découverte du « Kill Switch », qui ne sont pas et ne peuvent pas être victimes de la version initiale de WanaCrypt - WanaCrypt0r !

WanaCrypt - WanaCrypt0r, dans sa version initiale, et bien que ne pouvant plus crypter les fichiers des machines contaminées, reste virulent, ce qui est étonnant car, généralement, les botnets utilisés (ici en scanner de failles) n'appartiennent pas au cybercriminels qui lance l'attaque mais à des cybercriminels dont le métier est de contaminer silencieusement des ordinateurs pour en prendre le contrôle et les injecter dans des botsnets dont ils gardent le contrôle et qu'ils louent aux cybercriminels ayant besoin de ces relais. Or, ces locations coûtent de l'argent au cybercriminel ayant écrit WanaCrypt - WanaCrypt0r, donc, quel est l'intérêt de payer pour laisser ce truc ne rien rapporter ?


Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r
(WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r
(WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r
(WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

L'amplitude de l'attaque par tranches de 24 heures :

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r
(WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r
(WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)
Ransomware (cryptoware) WanaCrypt0r
(WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Europol (European Police Office)

Europol (European Police Office) est un office de police criminelle qui facilite l'échange de renseignements entre polices nationales en matière de stupéfiants, de terrorisme, de criminalité internationale et de pédophilie au sein de l'Union européenne.

Ils conduisent une action contre les cybercriminels et ont mis en ligne, sur un site appelé « plus de rançon » (« no more ransom »), des informations, parfois en plusieurs langues, à propos des Ransomware.

En ce qui concerne WanaCrypt0r, dernière vérification le 15.05.2017 à 20h00, no more ransom.org n'a pas relevé de solution.

Récapitulation des solutions actuelles :

  1. Outre le Windows Update à faire obligatoirement pour TOUS les systèmes Microsoft Windows actuellement maintenus par Microsoft :

    Un correctif de Microsoft est aussi disponible pour les systèmes obsolètes suivants :

    Windows XP SP2 pour processeurs x64 ;
    Windows Server 2003 ;
    Windows XP SP3 pour XPe ;
    Windows XP SP3 ;
    Windows Vista ;
    Windows Server 2008 ;
    WES09 et POSReady 2009 ;

    Il peut être téléchargé depuis https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.

    Agence Nationale de la sécurité des systèmes d'information :
    Il n'est pas possible de mettre à jour un serveur en fonctionnement. Il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.
    La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.

    Si le code malveillant est découvert sur vos systèmes, déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
    Alerter le responsable sécurité ou le service informatique au plus tôt.
    Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

    Correctifs Microsoft pour les systèmes qui ne sont normalement plus maintenus :
    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

    TitreProduitClassificationDateTaille
    Security Update for Windows 8 (KB4012598)Windows 8Security Updates13.05.2017872 KB 893501
    Security Update for Windows XP SP3 (KB4012598)Windows XPSecurity Updates13.05.2017665 KB 681200
    Security Update for Windows Vista (KB4012598)Windows VistaSecurity Updates13.05.20171.2 MB 1237796
    Security Update for Windows Server 2008 (KB4012598)Windows Server 2008Security Updates13.05.20171.2 MB 1237796
    Security Update for Windows Server 2003 for x64-based Systems (KB4012598)Windows Server 2003,Windows Server 2003, Datacenter EditionSecurity Updates13.05.2017951 KB 974072
    Security Update for Windows 8 for x64-based Systems (KB4012598)Windows 8Security Updates13.05.2017984 KB 1008565
    Security Update for Windows XP SP3 for XPe (KB4012598)Windows XP EmbeddedSecurity Updates13.05.2017665 KB 681712
    Security Update for Windows Server 2003 (KB4012598)Windows Server 2003,Windows Server 2003, Datacenter EditionSecurity Updates13.05.2017682 KB 698616
    Security Update for Windows XP SP2 for x64-based Systems (KB4012598)Windows XP x64 EditionSecurity Updates13.05.2017951 KB 974072
    Security Update for Windows Vista for x64-based Systems (KB4012598)Windows VistaSecurity Updates12.05.20171.3 MB 1384825
    Security Update for Windows Server 2008 for Itanium-based Systems (KB4012598)Windows Server 2008Security Updates12.05.20171.2 MB 1209596
    Security Update for Windows Server 2008 for x64-based Systems (KB4012598)Windows Server 2008Security Updates12.05.20171.3 MB 1384825
    Security Update for WES09 and POSReady 2009 (KB4012598)Windows XP EmbeddedSecurity Updates12.05.2017665 KB 681712


  2. Bulletin de sécurité Microsoft MS17-010 - Critique - Mise à jour de sécurité pour le serveur SMB Microsoft Windows (4013389)
    https://technet.microsoft.com/fr-fr/library/security/MS17-010


  3. Mise à jour de Windows Defender pour bloquer l'attaque WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ...
    Version initiale le 12.05.2017 - Mise à jour le 15.05.2017
    https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
    Mettez à jour Windows Defender
    Remarque : contrairement au bulletin d'alerte ( http://assiste.forum.free.fr/viewtopic.php?f=173&t=31988 ), Microsoft affirme, sur cette page, que l''exploit n'affecte pas les ordinateurs Windows 10 (réalité ou intox pour pousser, encore et encore, vers Windows 10).


  4. Customer Guidance for WannaCrypt attacks (Guide utilisateur contre les attaques WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ...)
    En anglais, mais avec accès à des versions en français
    https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    Dans votre langue :
    Windows Server 2003 SP2 x64
    http://www.microsoft.com/downloads/details.aspx?FamilyId=d3cb7407-3339-452e-8371-79b9c301132e

    Windows Server 2003 SP2 x86
    http://www.microsoft.com/downloads/details.aspx?FamilyId=350ec04d-a0ba-4a50-9be3-f900dafeddf9

    Windows XP SP2 x64
    http://www.microsoft.com/downloads/details.aspx?FamilyId=5fbaa61b-15ce-49c7-9361-cb5494f9d6aa

    Windows XP SP3 x86
    http://www.microsoft.com/downloads/details.aspx?FamilyId=7388c05d-9de6-4c6a-8b21-219df407754f

    Windows XP Embedded SP3 x86
    http://www.microsoft.com/downloads/details.aspx?FamilyId=a1db143d-6ad2-4e7e-9e90-2a73316e1add

    Windows 8 x86
    http://www.microsoft.com/downloads/details.aspx?FamilyId=6e2de6b7-9e43-4b42-aca2-267f24210340

    Windows 8 x64
    http://www.microsoft.com/downloads/details.aspx?FamilyId=b08bb3f1-f156-4e61-8a68-077963bae8c0


  5. WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ... cible les systèmes d'exploitation Microsoft Windows périmés
    https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
    Je n'aime pas cette page qui, outre la description technique de l'attaque, pousse encore et encore Windows 10 et Office 365 ! (et WIndows Defender, qui est, tout de même, une passoire qui est mis à jour contre Wana machin après l'attaque alors que Malwarebytes Premium bloque cette attaque inconnue de par sa conception même et son intelligence.)


  6. Comment je me fais avoir
    Lire et relire et apprendre par cœur : Comment je me fais avoir
    Voir, spécifiquement, le point 18


  7. Il n'y a pas d'outil de déchiffrement (décryptage) des fichiers chiffré
    Ne vous faites pas avoir avec des milliers de ventes de solutions de déchiffrement qui fleurissent sur le Web, dont les escroqueries financières avec les centaines de sites qui poussent la vente de SpyHunter.
    Il n'y a pas de solution de déchiffrement à ce jour, aucune, chez personne.