WannaCrypt Ransomware, également connu sous les noms WannaCry, WanaCrypt0r ou Wcrypt est un ransomware qui cible les systèmes d’exploitation Windows. Découvert le 12th En mai 2017, WannaCrypt a été utilisé dans le cadre d’une cyberattaque de grande envergure et a depuis infecté plus de 230 000 PC Windows dans 150 pays. à présent.
Qu'est-ce que WannaCrypt ransomware?
Comment WannaCrypt ransomware entre-t-il dans votre ordinateur?
Comme en témoignent ses attaques mondiales, WannaCrypt obtient d’abord un accès au système informatique via un pièce jointe et par la suite peut se propager rapidement à travers LAN. Le ransomware peut chiffrer le disque dur de votre système et tente d'exploiter le Vulnérabilité SMB se propager à des ordinateurs aléatoires sur Internet via un port TCP et entre des ordinateurs du même réseau.
Qui a créé WannaCrypt
Il n’existe aucun rapport confirmant qui a créé WannaCrypt, bien que WanaCrypt0r 2.0 semble être le deuxièmeDakota du Nord tentative faite par ses auteurs. Son prédécesseur, Ransomware WeCry, a été découvert en février dernier et demandait 0,1 Bitcoin pour le déverrouillage.
Actuellement, les attaquants utiliseraient Microsoft Windows exploit Bleu éternel qui aurait été créé par la NSA. Ces outils auraient été volés et divulgués par un groupe appelé Courtiers d'ombres.
Comment WannaCrypt se propage-t-il?
Ce Ransomware se propage en utilisant une vulnérabilité dans les implémentations de Server Message Block (SMB) dans les systèmes Windows. Cet exploit est nommé comme Bleu éternel qui aurait été volé et abusé par un groupe appelé Courtiers d'ombres.
Intéressant, Bleu éternel est une arme de piratage développée par la NSA pour accéder aux ordinateurs fonctionnant sous Microsoft Windows. Il a été spécialement conçu pour que l’unité de renseignement militaire américaine puisse avoir accès aux ordinateurs utilisés par les terroristes.
WannaCrypt crée un vecteur d'entrée dans les machines non encore corrigée, même après la mise à disposition du correctif. WannaCrypt cible toutes les versions de Windows non corrigées. MS-17-010, que Microsoft a publié en mars 2017 pour Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 et Windows Server 2016.
Le schéma d’infection courant comprend:
- Arrivée via des e-mails d'ingénierie sociale conçus pour inciter les utilisateurs à exécuter le programme malveillant et à activer la fonctionnalité de propagation du ver avec l'exploit SMB. Les rapports indiquent que le malware est distribué dans un fichier Microsoft Word infecté qui est envoyé dans un courrier électronique, déguisé en offre d'emploi, en facture ou en un autre document pertinent.
- Infection via SMB exploit lorsqu'un ordinateur non corrigé peut être traité dans d'autres machines infectées
WannaCrypt est un compte-gouttes de Troie
Présentation des propriétés d’un cheval de Troie, WannaCrypt, tente de connecter le domaine. hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, en utilisant l’API InternetOpenUrlA ():
Toutefois, si la connexion aboutit, la menace n’infecte plus le système avec des ransomwares et n’essaie pas d’exploiter d’autres systèmes pour se propager; cela arrête simplement l'exécution. C’est seulement lorsque la connexion échoue que le compte-gouttes abandonne le logiciel ransomware et crée un service sur le système.
Par conséquent, le fait de bloquer le domaine avec un pare-feu au niveau du fournisseur de services Internet ou du réseau de l'entreprise incitera le logiciel ransomware à continuer de diffuser et de chiffrer les fichiers.
C’est exactement ainsi qu’un chercheur en sécurité a mis fin à l’épidémie de WannaCry Ransomware! Ce chercheur estime que le but de cette vérification de domaine était de permettre au logiciel anti-ransomware de vérifier s'il était exécuté dans un bac à sable. Cependant, un autre chercheur en matière de sécurité a estimé que la vérification du domaine n’était pas sensible au proxy.
Une fois exécuté, WannaCrypt crée les clés de registre suivantes:
- HKLM LOGICIEL Microsoft Windows CurrentVersion Run
= “ tasksche.exe” - HKLM SOFTWARE WanaCrypt0r wd = “
”
Il change le papier peint en un message de rançon en modifiant la clé de registre suivante:
HKCU Panneau de configuration Bureau Fond d'écran: “ @ WanaDecryptor @.bmp”
La rançon demandée contre la clé de déchiffrement commence par $ 300 Bitcoin qui augmente après quelques heures.
Les extensions de fichier infectées par WannaCrypt
WannaCrypt recherche dans l’ensemble de l’ordinateur tout fichier portant l’une des extensions de nom de fichier suivantes:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der”,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.pot,.wp,.wav,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Il les renomme ensuite en ajoutant «.WNCRY» au nom du fichier.
WannaCrypt a une capacité de propagation rapide
La fonctionnalité de ver de WannaCrypt lui permet d’infecter des machines Windows non corrigées sur le réseau local. Dans le même temps, il effectue également une analyse approfondie des adresses IP Internet pour rechercher et infecter d'autres PC vulnérables. Cette activité génère d'importantes données de trafic SMB provenant de l'hôte infecté et peut être facilement suivie par le personnel de SecOps.
Une fois que WannaCrypt a infecté une machine vulnérable, il l’utilise pour infecter d’autres PC. Le cycle se poursuit, car le routage de l'analyse détecte les ordinateurs non corrigés.
Comment se protéger contre Wannacrypt
- Microsoft recommande mise à niveau vers Windows 10 comme équipé des dernières fonctionnalités et atténuation proactive.
- Installez le mise à jour de sécurité MS17-010 publié par Microsoft. La société a également publié des correctifs de sécurité pour les versions Windows non prises en charge, telles que Windows XP, Windows Server 2003, etc.
- Les utilisateurs de Windows sont invités à se méfier extrêmement du courrier électronique de phishing et à faire très attention ouvrir les pièces jointes ou en cliquant sur des liens Web.
- Faire des sauvegardes et les garder en toute sécurité
- Antivirus Windows Defender détecte cette menace comme Ransom: Win32 / WannaCrypt alors activez, mettez à jour et exécutez Windows Defender Antivirus pour détecter ce logiciel ransomware.
- Faire usage de certains Outils anti-WannaCry Ransomware.
- EternalBlue Vulnerability Checker est un outil gratuit qui vérifie si votre ordinateur Windows est vulnérable à Exploit éternel bleu.
- Désactiver SMB1 avec les étapes documentées à KB2696547.
- Pensez à ajouter une règle sur votre routeur ou votre pare-feu pour bloquer le trafic SMB entrant sur le port 445
- Les utilisateurs d'entreprise peuvent utiliser Dispositif de garde pour verrouiller les périphériques et fournir une sécurité basée sur la virtualisation au niveau du noyau, ne permettant que l'exécution d'applications approuvées.
Pour en savoir plus sur ce sujet, lisez le blog Technet.
WannaCrypt a peut-être été arrêté pour l'instant, mais vous pouvez vous attendre à ce qu'une variante plus récente frappe plus furieusement, alors restez en sécurité.
Les clients de Microsoft Azure voudront peut-être lire les conseils de Microsoft sur la manière d’éviter la menace WannaCrypt Ransomware.
METTRE À JOUR: Les déchiffreurs WannaCry Ransomware sont disponibles. Dans des conditions favorables, WannaKey et WanaKiwi, deux outils de décryptage peuvent aider à décrypter les fichiers cryptés WannaCrypt ou WannaCry Ransomware en récupérant la clé de cryptage utilisée par le ransomware.
