Propagation d'un rançongiciel appelé WanaCrypt (ou WanaCrypt0r) exploitant les vulnérabilités MS17-010 (12 mai 2017)

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le 12 mai 2017, une vague mondiale de cyberattaques frappe tous les ordinateurs, individuels ou réseaux d'entreprise, sans aucune distinction. Il n'y a pas de cibles particulières visées. Seule la présence d'une faille de sécurité dans les systèmes d'exploitation Microsoft Windows est recherchée. Si elle est trouvée, aucune manipulation de l'utilisateur n'est nécessaire (il n'est pas besoin de cliquer sur un lien, d'ouvrir une publicité piégée ou d'ouvrir une pièce jointe à un email. Des hôpitaux, des entreprises et des administrations sont touchés dans le monde entier en quelques minutes.

L'attaque est le fait d'une malveillance de la classe des ransomware, ou rançongiciel (logiciel bloquant totalement l'usage d'un ordinateur et demandant le paiement d'une rançon pour en retrouver (peut-être) l'usage).

Dans le cas présent, le ransomware (ou rançongiciel ) est nommé de diverses manières : WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, etc. WanaCrypt0r semble le nommage le plus usité.

Ce ransomware (ou rançongiciel ) est de la sous-classe des cryptowares.

Comment se présente WanaCrypt0r (WannaCrypt)

Le montant de la demande de rançon est de 300 US$ payable uniquement en Bitcoin sous trois jours.
Si le paiement n'intervient pas dans les trois jours de l'infection, la rançon double (600 US$).
Si le paiement n'intervient pas dans les 7 jours, le décrypteur est détruit. Les fichiers chiffrés sont perdus à tout jamais (il n'y a pas de contournement/déchiffrement possible connu à ce jour - gardez vos fichiers pour le cas où un outil de déchiffrement serait trouvé).

Protection

Les particuliers et utilisateurs finaux (mono ordinateur), comme les entreprises (réseaux d'ordinateurs) doivent impérativement et immédiatement s'assurer que leurs systèmes d'exploitation et leurs logiciels sont mis à jour avec tous les correctifs actuels afin d'empêcher la propagation de l'infection. Activez / utilisez Windows Update et paramétrez-le, une bonne fois pour toutes, en mode automatique.

Si les mises à jour avaient été effectuées dès le Patch Tuesday du 09 mai 2017, il n'y aurait eu aucun ordinateur compromis.

Si un anti-malware comme Malwarebytes Premium ou Emsisoft avait été installé, la malveillance n'aurait pas pu s'installer ni s'attaquer aux fichiers.

• Malwarebytes Premium (pour les utilisateurs finaux, les particuliers, les professions libérales, les mono ordinateurs) et Malwarebytes Endpoint Security (pour les réseaux informatiques d'entreprises), offrent déjà une protection proactive contre cette menace. La technologie anti-exploit, sans base de signature, de Malwarebytes, bloque le vecteur d'infection, tandis que la technologie anti-malware de Malwarebytes bloque l'exécution de la charge utile, en amont de l'infection. La technologie anti-ransomware de Malwarebytes empêche les fichiers des utilisateurs d'être chiffrés et arrêtera toute future variante, à ce jour inconnue, du cryptoware.
  
  
• Emsisoft Anti-Malwares et Emsisoft Internet Security n'auraient pas permis à WanaCrypt - WanaCrypt0r de s'activer et chiffrer les fichiers des utilisateurs.

Nota :
Le fonctionnement de WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ... est le suivant :

1. Il crée une copie du fichier
2. Il crypte la copie
3. Il détruit l'original

Il s'attaque à tous les fichiers qui ont les extensions suivantes :

.123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw.

N'écrivez rien sur un disque chiffré par un Ransomware. Surtout, ne pas le défragmenter.

Fort de la manière dont l'attaque a eu lieu, vous pouvez tenter de récupérer les fichiers supprimés et non cryptés, après avoir détruit le cryptoware, dont il reste des traces sur les surfaces magnétiques, avec les outils habituels comme Recuva.
Pas trop d'espoirs tout de même car la création d'une copie d'un fichier (pour le crypter) a de grandes chances de se faire en écrasant le contenu des clusters libérés par les destructions précédentes des originaux, une fois le chiffrage de la copie terminée.

Propagation de l'attaque :

Dès le 12.05.2017, l'attaque aurait fait plus de 200.000 victimes dans 150 pays. Beaucoup de victimes sont des entreprises avec des centaines ou des milliers de postes de travail, ce qui met sous le feu des projecteurs la résistance des entreprises à changer de systèmes d'exploitation (et a aimer, par exemple, Windows XP, des années après l'arrêt de la maintenance de cette version de WIndows). Les entreprises ne veulent pas d'un système d'exploitation gadgétisé et bourré de dispositifs espions, comme l'est Windows 10.

L'attaque a été extrêmement freinée, totalement par hasard, lorsqu'un jeune chercheur anglais de 22 ans (pseudo : MalwareTech), faisant du reverse engineering (rétro-ingénierie) du code de WanaCryptWanaCrypt0r, s'est aperçu de la présence d'un nom de domaine, dans le code, en clair, pas même obscurci (crypté - obfusqué). Ce domaine n'existant pas, il l'a acheté (un investissement de 10,69 US$) dès vendredi 12.05.2017. Ceci a agit comme un bouton d'arrêt d'urgence (un « Kill Switch ») de la charge utile du cryptoware (pas de la propagation du cryptoware, qui continue, mais désormais dans le vide (le malveillance croit être dans une sandbox et ne va pas plus loin). Un truc qu'avait prévu le cybercriminel, mais qu'il ne pensait sans doute pas pouvoir être découvert.

Le cybercriminel derrière ce cryptoware utilise des réseaux de machines zombies (des ordinateurs infectés à l'insu de leurs propriétaires et utilisés par les cybercriminels qui louent le « service » de BotNets.

Le chercheur MalwareTech explique sa démarche ici :
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Surveillance de la virulence de WanaCrypt - WanaCrypt0r :

Le chercheur MalwareTech, ayant découvert un « Kill Switch » (un « bouton d'arrêt d'urgence » du cryptoware, dans le code de WannaCry [WanaCrypt0r]), sous la forme d'un nom de domaine qui n'existe pas, achète ce nom de domaine le jour même du lancement de l'attaque (vendredi 12.05.2017) et le dirige vers ses infrastructures de surveillance. La déclaration « normale » d'achat d'un nom de domaine est accompagnée, ensuite, de la désignation « normale » de l'adresse IP où est hébergé ce domaine. Cette information est gérée par les serveurs DNS répartis sur toute la planète : ils font le rapprochement entre un nom de domaine (du simple texte dont ne sait que faire l'Internet) et son adresse IP (ça, sa parle !). Faites un Whois sur n'importe quel nom de domaine existant et vous verrez apparaître son adresse IP. Pour en savoir plus, voir le schéma de principe de HOSTS et DNS - Résolution des noms de domaine.

• On peut s'interroger sur la présence de cette requête vers un nom de domaine qui n'existe pas. L'une des raisons pourrait être que le cybercriminel a voulu tromper les analyses robotisées en recherche de comportement malveillant et, ainsi, retarder de plusieurs heures la découverte de la charge utile. Ces analyses reposent sur des sandbox pour analyser le comportement des objets actifs (scripts, codes de programmes, etc.). La sandbox aurait regardé cette requête externe, ne l'aurait pas effectuée mais aurait répondu « Réussite », ce qui aurait mis la puce à l'oreille du cryptoware qui se serait arrêté pour ne pas permettre à la sandbox d'observer sa charge utile. Seulement voila, c'est un humain qui a mis son nez dedans !
  
  
• Les victimes comptées par les HoneyPots sont celles qui font appel à la résolution de nom de domaine et chez qui WanaCrypt - WanaCrypt0r s'arrête. Ce ne sont donc pas des nombres de victimes qui sont décomptés mais des nombres d'échecs de WanaCrypt - WanaCrypt0r.
  
  
• On reste ébahi par le nombre de machines non patchées, dans le monde entier, depuis les petits paradis que sont les îles les plus reculées, aux pays les plus peuplés et consommateurs de nouvelles technologies. A quoi sert-il de répéter sans cesse, depuis que le Web existe sur l'Internet, de mettre ses systèmes d'exploitation et ses applications à jour, à chaque instant. Paramétrez vos Windows Update en mode automatique.

Après cette désignation d'adresse IP à un serveur DNS, vendredi 12.05.2017, il faut environ 24 à 48 heures pour que cette information se propage à travers tous les serveurs DNS du monde.

L'infrastructure de MalwareTech est constituée de serveurs DNS utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant la requête vers le « Kill Switch » donne son emplacement géographique, ce qui permet ces cartographies.

Depuis la mise en place de la redirection de ce nom de domaine, chaque WanaCrypt - WanaCrypt0r contaminant une machine et utilisant ce « Kill Switch » (il y a désormais de nouvelles versions de WanaCrypt - WanaCrypt0r qui n'utilisent plus ce « Kill Switch » et ne sont donc pas détectées de cette manière), fait un « ping » sur les « SinkHole » de MalwareTech (demande de résolution de nom de domaine sur un serveur DNS de l'infrastructure MalwareTech) et peut donc être comptabilisé. Mais, ce qui est comptabilisé est la virulence de WanaCrypt - WanaCrypt0r : ce sont les machines sur lesquelles la version de WanaCrypt - WanaCrypt0r (la première version) ne va pas pouvoir s'exécuter - ce sont les machines protégées par la découverte du « Kill Switch », qui ne sont pas et ne peuvent pas être victimes de la version initiale de WanaCrypt - WanaCrypt0r !

WanaCrypt - WanaCrypt0r, dans sa version initiale, et bien que ne pouvant plus crypter les fichiers des machines contaminées, reste virulent, ce qui est étonnant car, généralement, les botnets utilisés (ici en scanner de failles) n'appartiennent pas au cybercriminels qui lance l'attaque mais à des cybercriminels dont le métier est de contaminer silencieusement des ordinateurs pour en prendre le contrôle et les injecter dans des botsnets dont ils gardent le contrôle et qu'ils louent aux cybercriminels ayant besoin de ces relais. Or, ces locations coûtent de l'argent au cybercriminel ayant écrit WanaCrypt - WanaCrypt0r, donc, quel est l'intérêt de payer pour laisser ce truc ne rien rapporter ?

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

L'amplitude de l'attaque par tranches de 24 heures :

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Europol (European Police Office)

Europol (European Police Office) est un office de police criminelle qui facilite l'échange de renseignements entre polices nationales en matière de stupéfiants, de terrorisme, de criminalité internationale et de pédophilie au sein de l'Union européenne.

Ils conduisent une action contre les cybercriminels et ont mis en ligne, sur un site appelé « plus de rançon » (« no more ransom »), des informations, parfois en plusieurs langues, à propos des Ransomware.

En ce qui concerne WanaCrypt0r, dernière vérification le 15.05.2017 à 20h00, no more ransom.org n'a pas relevé de solution.

Récapitulation des solutions actuelles :

1. Outre le Windows Update à faire obligatoirement pour TOUS les systèmes Microsoft Windows actuellement maintenus par Microsoft :
   

   Un correctif de Microsoft est aussi disponible pour les systèmes obsolètes suivants :

   Windows XP SP2 pour processeurs x64 ;
   Windows Server 2003 ;
   Windows XP SP3 pour XPe ;
   Windows XP SP3 ;
   Windows Vista ;
   Windows Server 2008 ;
   WES09 et POSReady 2009 ;

   Il peut être téléchargé depuis https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.

   Agence Nationale de la sécurité des systèmes d'information :
   Il n'est pas possible de mettre à jour un serveur en fonctionnement. Il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.
   La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.

   Si le code malveillant est découvert sur vos systèmes, déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
   Alerter le responsable sécurité ou le service informatique au plus tôt.
   Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

   Correctifs Microsoft pour les systèmes qui ne sont normalement plus maintenus :
   https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

   Titre	Produit	Classification	Date	Taille
   Security Update for Windows 8 (KB4012598)	Windows 8	Security Updates	13.05.2017	872 KB 893501
   Security Update for Windows XP SP3 (KB4012598)	Windows XP	Security Updates	13.05.2017	665 KB 681200
   Security Update for Windows Vista (KB4012598)	Windows Vista	Security Updates	13.05.2017	1.2 MB 1237796
   Security Update for Windows Server 2008 (KB4012598)	Windows Server 2008	Security Updates	13.05.2017	1.2 MB 1237796
   Security Update for Windows Server 2003 for x64-based Systems (KB4012598)	Windows Server 2003,Windows Server 2003, Datacenter Edition	Security Updates	13.05.2017	951 KB 974072
   Security Update for Windows 8 for x64-based Systems (KB4012598)	Windows 8	Security Updates	13.05.2017	984 KB 1008565
   Security Update for Windows XP SP3 for XPe (KB4012598)	Windows XP Embedded	Security Updates	13.05.2017	665 KB 681712
   Security Update for Windows Server 2003 (KB4012598)	Windows Server 2003,Windows Server 2003, Datacenter Edition	Security Updates	13.05.2017	682 KB 698616
   Security Update for Windows XP SP2 for x64-based Systems (KB4012598)	Windows XP x64 Edition	Security Updates	13.05.2017	951 KB 974072
   Security Update for Windows Vista for x64-based Systems (KB4012598)	Windows Vista	Security Updates	12.05.2017	1.3 MB 1384825
   Security Update for Windows Server 2008 for Itanium-based Systems (KB4012598)	Windows Server 2008	Security Updates	12.05.2017	1.2 MB 1209596
   Security Update for Windows Server 2008 for x64-based Systems (KB4012598)	Windows Server 2008	Security Updates	12.05.2017	1.3 MB 1384825
   Security Update for WES09 and POSReady 2009 (KB4012598)	Windows XP Embedded	Security Updates	12.05.2017	665 KB 681712

   
   

2. Bulletin de sécurité Microsoft MS17-010 - Critique - Mise à jour de sécurité pour le serveur SMB Microsoft Windows (4013389)
   https://technet.microsoft.com/fr-fr/library/security/MS17-010

   
   

3. Mise à jour de Windows Defender pour bloquer l'attaque WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ...
   Version initiale le 12.05.2017 - Mise à jour le 15.05.2017
   https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
   Mettez à jour Windows Defender
   Remarque : contrairement au bulletin d'alerte ( http://assiste.forum.free.fr/viewtopic.php?f=173&t=31988 ), Microsoft affirme, sur cette page, que l''exploit n'affecte pas les ordinateurs Windows 10 (réalité ou intox pour pousser, encore et encore, vers Windows 10).

   
   

4. Customer Guidance for WannaCrypt attacks (Guide utilisateur contre les attaques WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ...)
   En anglais, mais avec accès à des versions en français
   https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

   Dans votre langue :
   Windows Server 2003 SP2 x64
   http://www.microsoft.com/downloads/details.aspx?FamilyId=d3cb7407-3339-452e-8371-79b9c301132e

   Windows Server 2003 SP2 x86
   http://www.microsoft.com/downloads/details.aspx?FamilyId=350ec04d-a0ba-4a50-9be3-f900dafeddf9

   Windows XP SP2 x64
   http://www.microsoft.com/downloads/details.aspx?FamilyId=5fbaa61b-15ce-49c7-9361-cb5494f9d6aa

   Windows XP SP3 x86
   http://www.microsoft.com/downloads/details.aspx?FamilyId=7388c05d-9de6-4c6a-8b21-219df407754f

   Windows XP Embedded SP3 x86
   http://www.microsoft.com/downloads/details.aspx?FamilyId=a1db143d-6ad2-4e7e-9e90-2a73316e1add

   Windows 8 x86
   http://www.microsoft.com/downloads/details.aspx?FamilyId=6e2de6b7-9e43-4b42-aca2-267f24210340

   Windows 8 x64
   http://www.microsoft.com/downloads/details.aspx?FamilyId=b08bb3f1-f156-4e61-8a68-077963bae8c0

   
   

5. WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ... cible les systèmes d'exploitation Microsoft Windows périmés
   https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
   Je n'aime pas cette page qui, outre la description technique de l'attaque, pousse encore et encore Windows 10 et Office 365 ! (et WIndows Defender, qui est, tout de même, une passoire qui est mis à jour contre Wana machin après l'attaque alors que Malwarebytes Premium bloque cette attaque inconnue de par sa conception même et son intelligence.)

   
   

6. Comment je me fais avoir
   Lire et relire et apprendre par cœur : Comment je me fais avoir
   Voir, spécifiquement, le point 18

   
   

7. Il n'y a pas d'outil de déchiffrement (décryptage) des fichiers chiffré
   Ne vous faites pas avoir avec des milliers de ventes de solutions de déchiffrement qui fleurissent sur le Web, dont les escroqueries financières avec les centaines de sites qui poussent la vente de SpyHunter.
   Il n'y a pas de solution de déchiffrement à ce jour, aucune, chez personne.