Attaque du ransomware Wannacry: 3 choses essentielles à savoir

Des experts en cybersécurité ont signalé vendredi des attaques à ransomware, appelées WannaCry, à travers le monde. De multiples avertissements ont été émis pour impliquer des mesures de sécurité renforcées sur les appareils connectés au Web, une deuxième attaque étant attendue cette semaine.

Les attaques de ransomware - un tour de hackers vieux d’une décennie - ont touché principalement la Russie, l’Ukraine, l’Espagne, le Royaume-Uni et l’Inde.

D'autres pays, dont les États-Unis, le Brésil, la Chine, notamment d'Amérique du Nord, d'Amérique latine, d'Europe et d'Asie ont été frappés par le ransomware.

Le ransomware crypte les fichiers sur un périphérique à l'aide de l'extension ".wcry" et est lancé via une exécution de code à distance SMBv2 (Server Message Block Version 2).

Lisez aussi: Qu'est-ce que Ransomware et comment se protéger? et le smartphone est-il vulnérable à l'attaque de WannaCry Ransomware?

L'équipe mondiale de recherche et d'analyse de Kaspersky Lab a souligné que "les ordinateurs Windows non corrigés exposant leurs services SMB peuvent être attaqués à distance" et que "cette vulnérabilité semble être le facteur le plus important à l'origine de l'épidémie".

Le groupe de piratage Shadow Brokers serait responsable de la mise à disposition du logiciel malveillant permettant de lancer cette attaque sur Internet le 14 avril.

Quelle est l'ampleur de l'attaque?

L'impact complet de cette attaque est encore inconnu, car les experts en cyber sécurité s'attendent à ce que de nouvelles vagues d'attaque frappent davantage de systèmes.

Selon un article paru dans le New York Times, l'attaque a pris le contrôle de plus de 200 000 ordinateurs dans plus de 150 pays.

Des entreprises et des organismes gouvernementaux, notamment les ministères russes, FedEx, la Deutsche Bahn (Allemagne), Telefonica (Espagne), Renault (français), Qihoo (Chine) et le service de santé national du Royaume-Uni ont été touchés.

L’équipe d’intervention d’urgence informatique espagnole (CCN-CERT) a également appelé à une forte alerte dans le pays, affirmant que des organisations pourraient avoir été touchées par le logiciel ransomware.

«Le logiciel malveillant WannaCrypt s'est rapidement répandu dans le monde entier et provient des exploits volés à la NSA aux États-Unis. Microsoft avait publié une mise à jour de sécurité pour corriger cette vulnérabilité, mais de nombreux ordinateurs n'étaient toujours pas corrigés », a déclaré Microsoft.

Les logiciels suivants ont été affectés jusqu'à maintenant:

• Windows Server 2008 pour les systèmes 32 bits
• Windows Server 2008 pour systèmes 32 bits service pack 2
• Windows Server 2008 pour les systèmes Itanium
• Windows Server 2008 pour les systèmes Itanium Service Pack 2
• Windows Server 2008 pour les systèmes x64
• Windows Server 2008 pour systèmes x64 Service Pack 2
• Windows Vista
• Windows Vista Service Pack 1
• Windows Vista Service Pack 2
• Windows Vista Édition x64
• Windows Vista Édition x64 Service Pack 1
• Windows Vista Édition x64 Service Pack 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 et R2
• Windows 10
• Windows Server 2016

Comment cela affecte-t-il les systèmes?

Le logiciel malveillant chiffre des fichiers contenant des extensions de bureau, des archives, des fichiers multimédias, des bases de données de courrier électronique et des courriels, le code source du développeur et des fichiers de projet, des fichiers graphiques et des images, etc.

Un outil de déchiffrement est également installé parallèlement au programme malveillant qui contribue à la création de la rançon demandée en Bitcoins, d’une valeur de 300 USD, et à déchiffre les fichiers une fois le paiement effectué.

L'outil Decryptor exécute deux comptes à rebours: un minuteur de 3 jours, après quoi il est indiqué que la rançon augmentera et un minuteur de 7 jours indiquant le temps restant avant la perte définitive des fichiers.

Étant donné que l’outil logiciel a la capacité de traduire son texte en plusieurs langues, il est évident que l’attaque vise l’ensemble du monde.

Afin de s'assurer que l'utilisateur trouve l'outil de déchiffrement, le logiciel malveillant modifie également le fond d'écran du PC concerné.

Comment rester en sécurité?

• Assurez-vous que la base de données de votre logiciel antivirus est à jour et protège votre système en temps réel et lancez une analyse.
• Si le programme malveillant: Trojan.Win64.EquationDrug.gen est détecté, assurez-vous qu'il est mis en quarantaine et supprimé, puis redémarrez le système.
• Si vous ne l'avez pas déjà fait, il est recommandé d'installer le correctif officiel de Microsoft, MS17-010, qui atténue la vulnérabilité de SMB exploitée lors de l'attaque.
• Vous pouvez également désactiver le SMB sur votre ordinateur en utilisant ce guide de Microsoft.
• Les entreprises peuvent isoler les ports de communication 137 et 138 UDP et les ports 139 et 445 TCP.

Les systèmes basés aux États-Unis ont été sécurisés accidentellement

Un chercheur en sécurité britannique âgé de 22 ans a accidentellement empêché le logiciel malveillant de se propager sur des réseaux aux États-Unis lorsqu'il a acheté le domaine de l'interrupteur d'arrêt du logiciel malveillant qui n'était pas encore enregistré.

Dès que le site a été mis en ligne, l'attaque a été fermée. Vous pouvez lire son rapport complet ici sur la façon dont il a dévoilé le commutateur de neutralisation du logiciel malveillant et éventuellement l’arrêter.

Lire aussi: Cette faille de sécurité Android critique reste non résolue par Google.

«Il existe déjà une autre variante du logiciel de ransomware qui n’a pas de kill switch, ce qui la rend difficile à contenir. Il a déjà commencé à infecter des pays européens », a déclaré Sharda Tickoo, responsable technique de Trend Micro India.

On ne sait toujours pas qui est responsable de l'attaque et des spéculations ont été faites à propos de Shadow Brokers - qui est également responsable de la publication du malware en ligne - ou de plusieurs organisations de piratage.

Regardez la vidéo de GT Hindi pour Wannacry / Wannacrypt Ransomware ci-dessous.