Assiste.com
cr 01.04.2012 r+ 01.06.2024 r- 15.07.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Encyclopédie |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
Le 12 mai 2017, une vague mondiale de cyberattaques frappe tous les ordinateurs, individuels ou réseaux d'entreprise, sans aucune distinction. Il n'y a pas de cibles particulières visées. Seule la présence d'une faille de sécurité dans les systèmes d'exploitation Microsoft Windows est recherchée. Si elle est trouvée, aucune manipulation de l'utilisateur n'est nécessaire (il n'est pas besoin de cliquer sur un lien, d'ouvrir une publicité piégée ou d'ouvrir une pièce jointe à un email. Des hôpitaux, des entreprises et des administrations sont touchés dans le monde entier en quelques minutes.
L'attaque est le fait d'une malveillance de la classe des ransomware, ou rançongiciel (logiciel bloquant totalement l'usage d'un ordinateur et demandant le paiement d'une rançon pour en retrouver (peut-être) l'usage).
Dans le cas présent, le ransomware (ou rançongiciel ) est nommé de diverses manières : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, etc. WanaCrypt0r semble le nommage le plus usité.
Ce ransomware (ou rançongiciel ) est de la sous-classe des cryptowares.
ALERTE : Propagation d'un rançongiciel appelé WanaCrypt (ou WanaCrypt0r) exploitant les vulnérabilités MS17-010 (12 mai 2017)
Version initiale de l'alerte
12 mai 2017
1 - Risque(s)
Installation d'un logiciel malveillant de type rançongiciel ( Ransomware ).
Le Ransomware est nommé de diverses manières : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ...
WanaCrypt0r semble le nommage le plus usité.
2 - Systèmes affectés
Tous les systèmes d'exploitation Windows peuvent être victimes de ce logiciel malveillant.
3 - Résumé
Ce nouveau ransomware exploite des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 (rappel ci-dessous).
4 - Contournement Provisoire
Application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010).
De manière préventive, s'il n'est pas possible de mettre à jour un serveur, il est recommandé de l'isoler logiquement, voir de l'éteindre le temps d'appliquer les mesures adaptées de protection.
Mesures réactives
Si le code malveillant est découvert sur vos systèmes, déconnectez immédiatement du réseau toutes les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
Alerter le responsable sécurité ou le service informatique au plus tôt.
Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tel. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes (utilisez des supports de sauvegardes neufs et vierges). Les sauvegardes antérieures ne doivent pas être connectées sur les machines contaminées dans le but de reconstituer les fichiers avant contamination : les sauvegardes seraient chiffrées (cryptées) à leur tour et totalement inexploitables (perdues).
Documentation
Rappel de l'avis :
1 - Risque(s)
exécution de code arbitraire à distance
déni de service
contournement de la politique de sécurité
atteinte à la confidentialité des données
élévation de privilèges
2 - Systèmes affectés
Windows Vista
Windows 7
Windows 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows RT 8.1
Windows Server 2016
3 - Résumé
De multiples vulnérabilités ont été corrigées dans Microsoft Windows. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.
4 - Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
5 - Documentation
Bulletin de sécurité Microsoft MS17-012 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-012
Bulletin de sécurité Microsoft MS17-008 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-008
Bulletin de sécurité Microsoft MS17-009 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-009
Bulletin de sécurité Microsoft MS17-010 du 14 mars 2017 - Security Update for Microsoft Windows SMB Server (4013389)
https://technet.microsoft.com/fr-fr/library/security/MS17-010
Bulletin de sécurité Microsoft MS17-011 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-011
Bulletin de sécurité Microsoft MS17-013 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-013
Bulletin de sécurité Microsoft MS17-015 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-015
Bulletin de sécurité Microsoft MS17-016 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-016
Bulletin de sécurité Microsoft MS17-017 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-017
Bulletin de sécurité Microsoft MS17-018 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-018
Bulletin de sécurité Microsoft MS17-019 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-019
Bulletin de sécurité Microsoft MS17-020 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-020
Bulletin de sécurité Microsoft MS17-021 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-021
Bulletin de sécurité Microsoft MS17-022 du 14 mars 2017
https://technet.microsoft.com/fr-fr/library/security/MS17-022
Référence CVE CVE-2017-0110
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0110
Référence CVE CVE-2017-0007
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0007
Référence CVE CVE-2017-0016
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0016
Référence CVE CVE-2017-0039
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0039
Référence CVE CVE-2017-0057
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0057
Référence CVE CVE-2017-0100
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0100
Référence CVE CVE-2017-0104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0104
Référence CVE CVE-2017-0021
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0021
Référence CVE CVE-2017-0051
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0051
Référence CVE CVE-2017-0074
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0074
Référence CVE CVE-2017-0075
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0075
Référence CVE CVE-2017-0076
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0076
Référence CVE CVE-2017-0095
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0095
Référence CVE CVE-2017-0096
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0096
Référence CVE CVE-2017-0097
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0097
Référence CVE CVE-2017-0098
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0098
Référence CVE CVE-2017-0099
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0099
Référence CVE CVE-2017-0109
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0109
Référence CVE CVE-2017-0023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0023
Référence CVE CVE-2017-0143
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
Référence CVE CVE-2017-0144
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144
Référence CVE CVE-2017-0145
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145
Référence CVE CVE-2017-0146
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0146
Référence CVE CVE-2017-0147
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0147
Référence CVE CVE-2017-0148
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0148
Référence CVE CVE-2017-0072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0072
Référence CVE CVE-2017-0083
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0083
Référence CVE CVE-2017-0084
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0084
Référence CVE CVE-2017-0085
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0085
Référence CVE CVE-2017-0086
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0086
Référence CVE CVE-2017-0087
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0087
Référence CVE CVE-2017-0088
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0088
Référence CVE CVE-2017-0089
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0089
Référence CVE CVE-2017-0090
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0090
Référence CVE CVE-2017-0091
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0091
Référence CVE CVE-2017-0092
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0092
Référence CVE CVE-2017-0111
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0111
Référence CVE CVE-2017-0112
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0112
Référence CVE CVE-2017-0113
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0113
Référence CVE CVE-2017-0114
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0114
Référence CVE CVE-2017-0115
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0115
Référence CVE CVE-2017-0116
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0116
Référence CVE CVE-2017-0117
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0117
Référence CVE CVE-2017-0118
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0118
Référence CVE CVE-2017-0119
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0119
Référence CVE CVE-2017-0120
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0120
Référence CVE CVE-2017-0121
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0121
Référence CVE CVE-2017-0122
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0122
Référence CVE CVE-2017-0123
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0123
Référence CVE CVE-2017-0124
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0124
Référence CVE CVE-2017-0125
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0125
Référence CVE CVE-2017-0126
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0126
Référence CVE CVE-2017-0127
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0127
Référence CVE CVE-2017-0128
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0128
Référence CVE CVE-2017-0001
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0001
Référence CVE CVE-2017-0005
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0005
Référence CVE CVE-2017-0014
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0014
Référence CVE CVE-2017-0025
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0025
Référence CVE CVE-2017-0038
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0038
Référence CVE CVE-2017-0047
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0047
Référence CVE CVE-2017-0060
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0060
Référence CVE CVE-2017-0061
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0061
Référence CVE CVE-2017-0062
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0062
Référence CVE CVE-2017-0063
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0063
Référence CVE CVE-2017-0073
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0073
Référence CVE CVE-2017-0108
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0108
Référence CVE CVE-2017-0055
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0055
Référence CVE CVE-2017-0050
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0050
Référence CVE CVE-2017-0101
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0101
Référence CVE CVE-2017-0102
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0102
Référence CVE CVE-2017-0103
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0103
Référence CVE CVE-2017-0024
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0024
Référence CVE CVE-2017-0026
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0026
Référence CVE CVE-2017-0056
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0056
Référence CVE CVE-2017-0078
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0078
Référence CVE CVE-2017-0079
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0079
Référence CVE CVE-2017-0080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0080
Référence CVE CVE-2017-0081
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0081
Référence CVE CVE-2017-0082
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0082
Référence CVE CVE-2017-0043
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0043
Référence CVE CVE-2017-0045
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0045
Référence CVE CVE-2017-0042
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0042
Référence CVE CVE-2017-0022
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0022
Comment se présente WanaCrypt0r (WannaCrypt)
Le montant de la demande de rançon est de 300 US$ payable uniquement en Bitcoin sous trois jours.
Si le paiement n'intervient pas dans les trois jours de l'infection, la rançon double (600 US$).
Si le paiement n'intervient pas dans les 7 jours, le décrypteur est détruit. Les fichiers chiffrés sont perdus à tout jamais (il n'y a pas de contournement/déchiffrement possible connu à ce jour - gardez vos fichiers pour le cas où un outil de déchiffrement serait trouvé).
Les particuliers et utilisateurs finaux (mono ordinateur), comme les entreprises (réseaux d'ordinateurs) doivent impérativement et immédiatement s'assurer que leurs systèmes d'exploitation et leurs logiciels sont mis à jour avec tous les correctifs actuels afin d'empêcher la propagation de l'infection. Activez / utilisez Windows Update et paramétrez-le, une bonne fois pour toutes, en mode automatique.
Si les mises à jour avaient été effectuées dès le Patch Tuesday du 09 mai 2017, il n'y aurait eu aucun ordinateur compromis.
Si un anti-malware comme Malwarebytes Premium ou Emsisoft avait été installé, la malveillance n'aurait pas pu s'installer ni s'attaquer aux fichiers.
Nota :
Le fonctionnement de WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ... est le suivant :
Il s'attaque à tous les fichiers qui ont les extensions suivantes :
.123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw.
N'écrivez rien sur un disque chiffré par un Ransomware. Surtout, ne pas le défragmenter.
Fort de la manière dont l'attaque a eu lieu, vous pouvez tenter de récupérer les fichiers supprimés et non cryptés, après avoir détruit le cryptoware, dont il reste des traces sur les surfaces magnétiques, avec les outils habituels comme Recuva.
Pas trop d'espoirs tout de même car la création d'une copie d'un fichier (pour le crypter) a de grandes chances de se faire en écrasant le contenu des clusters libérés par les destructions précédentes des originaux, une fois le chiffrage de la copie terminée.
Dès le 12.05.2017, l'attaque aurait fait plus de 200.000 victimes dans 150 pays. Beaucoup de victimes sont des entreprises avec des centaines ou des milliers de postes de travail, ce qui met sous le feu des projecteurs la résistance des entreprises à changer de systèmes d'exploitation (et a aimer, par exemple, Windows XP, des années après l'arrêt de la maintenance de cette version de WIndows). Les entreprises ne veulent pas d'un système d'exploitation gadgétisé et bourré de dispositifs espions, comme l'est Windows 10.
L'attaque a été extrêmement freinée, totalement par hasard, lorsqu'un jeune chercheur anglais de 22 ans (pseudo : MalwareTech), faisant du reverse engineering (rétro-ingénierie) du code de WanaCryptWanaCrypt0r, s'est aperçu de la présence d'un nom de domaine, dans le code, en clair, pas même obscurci (crypté - obfusqué). Ce domaine n'existant pas, il l'a acheté (un investissement de 10,69 US$) dès vendredi 12.05.2017. Ceci a agit comme un bouton d'arrêt d'urgence (un « Kill Switch ») de la charge utile du cryptoware (pas de la propagation du cryptoware, qui continue, mais désormais dans le vide (le malveillance croit être dans une sandbox et ne va pas plus loin). Un truc qu'avait prévu le cybercriminel, mais qu'il ne pensait sans doute pas pouvoir être découvert.
Le cybercriminel derrière ce cryptoware utilise des réseaux de machines zombies (des ordinateurs infectés à l'insu de leurs propriétaires et utilisés par les cybercriminels qui louent le « service » de BotNets.
Le chercheur MalwareTech explique sa démarche ici :
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
Le chercheur MalwareTech, ayant découvert un « Kill Switch » (un « bouton d'arrêt d'urgence » du cryptoware, dans le code de WannaCry [WanaCrypt0r]), sous la forme d'un nom de domaine qui n'existe pas, achète ce nom de domaine le jour même du lancement de l'attaque (vendredi 12.05.2017) et le dirige vers ses infrastructures de surveillance. La déclaration « normale » d'achat d'un nom de domaine est accompagnée, ensuite, de la désignation « normale » de l'adresse IP où est hébergé ce domaine. Cette information est gérée par les serveurs DNS répartis sur toute la planète : ils font le rapprochement entre un nom de domaine (du simple texte dont ne sait que faire l'Internet) et son adresse IP (ça, sa parle !). Faites un Whois sur n'importe quel nom de domaine existant et vous verrez apparaître son adresse IP. Pour en savoir plus, voir le schéma de principe de HOSTS et DNS - Résolution des noms de domaine.
Après cette désignation d'adresse IP à un serveur DNS, vendredi 12.05.2017, il faut environ 24 à 48 heures pour que cette information se propage à travers tous les serveurs DNS du monde.
L'infrastructure de MalwareTech est constituée de serveurs DNS utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant la requête vers le « Kill Switch » donne son emplacement géographique, ce qui permet ces cartographies.
Depuis la mise en place de la redirection de ce nom de domaine, chaque WanaCrypt - WanaCrypt0r contaminant une machine et utilisant ce « Kill Switch » (il y a désormais de nouvelles versions de WanaCrypt - WanaCrypt0r qui n'utilisent plus ce « Kill Switch » et ne sont donc pas détectées de cette manière), fait un « ping » sur les « SinkHole » de MalwareTech (demande de résolution de nom de domaine sur un serveur DNS de l'infrastructure MalwareTech) et peut donc être comptabilisé. Mais, ce qui est comptabilisé est la virulence de WanaCrypt - WanaCrypt0r : ce sont les machines sur lesquelles la version de WanaCrypt - WanaCrypt0r (la première version) ne va pas pouvoir s'exécuter - ce sont les machines protégées par la découverte du « Kill Switch », qui ne sont pas et ne peuvent pas être victimes de la version initiale de WanaCrypt - WanaCrypt0r !
WanaCrypt - WanaCrypt0r, dans sa version initiale, et bien que ne pouvant plus crypter les fichiers des machines contaminées, reste virulent, ce qui est étonnant car, généralement, les botnets utilisés (ici en scanner de failles) n'appartiennent pas au cybercriminels qui lance l'attaque mais à des cybercriminels dont le métier est de contaminer silencieusement des ordinateurs pour en prendre le contrôle et les injecter dans des botsnets dont ils gardent le contrôle et qu'ils louent aux cybercriminels ayant besoin de ces relais. Or, ces locations coûtent de l'argent au cybercriminel ayant écrit WanaCrypt - WanaCrypt0r, donc, quel est l'intérêt de payer pour laisser ce truc ne rien rapporter ?
L'amplitude de l'attaque par tranches de 24 heures :
Europol (European Police Office) est un office de police criminelle qui facilite l'échange de renseignements entre polices nationales en matière de stupéfiants, de terrorisme, de criminalité internationale et de pédophilie au sein de l'Union européenne.
Ils conduisent une action contre les cybercriminels et ont mis en ligne, sur un site appelé « plus de rançon » (« no more ransom »), des informations, parfois en plusieurs langues, à propos des Ransomware.
En ce qui concerne WanaCrypt0r, dernière vérification le 15.05.2017 à 20h00, no more ransom.org n'a pas relevé de solution.
Un correctif de Microsoft est aussi disponible pour les systèmes obsolètes suivants :
Windows XP SP2 pour processeurs x64 ;
Windows Server 2003 ;
Windows XP SP3 pour XPe ;
Windows XP SP3 ;
Windows Vista ;
Windows Server 2008 ;
WES09 et POSReady 2009 ;
Il peut être téléchargé depuis https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
Agence Nationale de la sécurité des systèmes d'information :
Il n'est pas possible de mettre à jour un serveur en fonctionnement. Il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.
La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.
Si le code malveillant est découvert sur vos systèmes, déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
Alerter le responsable sécurité ou le service informatique au plus tôt.
Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.
Correctifs Microsoft pour les systèmes qui ne sont normalement plus maintenus :
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Titre | Produit | Classification | Date | Taille |
Security Update for Windows 8 (KB4012598) | Windows 8 | Security Updates | 13.05.2017 | 872 KB 893501 |
Security Update for Windows XP SP3 (KB4012598) | Windows XP | Security Updates | 13.05.2017 | 665 KB 681200 |
Security Update for Windows Vista (KB4012598) | Windows Vista | Security Updates | 13.05.2017 | 1.2 MB 1237796 |
Security Update for Windows Server 2008 (KB4012598) | Windows Server 2008 | Security Updates | 13.05.2017 | 1.2 MB 1237796 |
Security Update for Windows Server 2003 for x64-based Systems (KB4012598) | Windows Server 2003,Windows Server 2003, Datacenter Edition | Security Updates | 13.05.2017 | 951 KB 974072 |
Security Update for Windows 8 for x64-based Systems (KB4012598) | Windows 8 | Security Updates | 13.05.2017 | 984 KB 1008565 |
Security Update for Windows XP SP3 for XPe (KB4012598) | Windows XP Embedded | Security Updates | 13.05.2017 | 665 KB 681712 |
Security Update for Windows Server 2003 (KB4012598) | Windows Server 2003,Windows Server 2003, Datacenter Edition | Security Updates | 13.05.2017 | 682 KB 698616 |
Security Update for Windows XP SP2 for x64-based Systems (KB4012598) | Windows XP x64 Edition | Security Updates | 13.05.2017 | 951 KB 974072 |
Security Update for Windows Vista for x64-based Systems (KB4012598) | Windows Vista | Security Updates | 12.05.2017 | 1.3 MB 1384825 |
Security Update for Windows Server 2008 for Itanium-based Systems (KB4012598) | Windows Server 2008 | Security Updates | 12.05.2017 | 1.2 MB 1209596 |
Security Update for Windows Server 2008 for x64-based Systems (KB4012598) | Windows Server 2008 | Security Updates | 12.05.2017 | 1.3 MB 1384825 |
Security Update for WES09 and POSReady 2009 (KB4012598) | Windows XP Embedded | Security Updates | 12.05.2017 | 665 KB 681712 |
Dans votre langue :
Windows Server 2003 SP2 x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=d3cb7407-3339-452e-8371-79b9c301132e
Windows Server 2003 SP2 x86
http://www.microsoft.com/downloads/details.aspx?FamilyId=350ec04d-a0ba-4a50-9be3-f900dafeddf9
Windows XP SP2 x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=5fbaa61b-15ce-49c7-9361-cb5494f9d6aa
Windows XP SP3 x86
http://www.microsoft.com/downloads/details.aspx?FamilyId=7388c05d-9de6-4c6a-8b21-219df407754f
Windows XP Embedded SP3 x86
http://www.microsoft.com/downloads/details.aspx?FamilyId=a1db143d-6ad2-4e7e-9e90-2a73316e1add
Windows 8 x86
http://www.microsoft.com/downloads/details.aspx?FamilyId=6e2de6b7-9e43-4b42-aca2-267f24210340
Windows 8 x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=b08bb3f1-f156-4e61-8a68-077963bae8c0
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus. |