Ransomware WannaCrypt, comment se protéger ? Son talon d’Achille a été trouvé

Une attaque informatique mondiale d’une ampleur jamais vue a débuté la fin de semaine dernière. Si beaucoup s’accordent à souligner que le Ransomware WannaCrypt est désormais maitrisée, cela ne veut pas dire qu’il n’est  pas encore actif. La prudence est donc conseillée et la protection de son PC doit être renforcée.

La menace du ransomware WannaCrypt n’est pas terminée. Les PCtistes doivent rester vigilants et disposer d’une machine équipée d’un OS et d’un logiciel anti-virus à à jour. La bonne nouvelle cependant est que Wannacrypt a dévoilé sa faille.  Un chercheur  en cybersécurité, surnommé par certain comme un « héro », a réussi à trouver un moyen d’arrêter sa propagation.

Wannacrypt, un Héro a trouvé sa faille

En collaboration avec Darien Huss du cabinet de sécurité Proofpoint, le chercheur a analysé le code du virus WannaCrypt. Ce travail lui a permis de trouver une sorte d’interrupteur dit de « destruction ».

Il s’agit d’un « Hardcoded » prévu par son développeur. L’objectif est de pouvoir stopper son action afin de l’empêcher de se répandre. Sans entrée dans le détail, la démarche est d’attendre une réponse à demande d’un nom de domaine absurde. Si la demande réussie, l’interrupteur se met en route et la propagation du virus devient inopérante.

MalwareTech souligne qu’il faut seulement enregistrer ce nom domaine en question (les pirates ne l’ont pas fait !). Il est souligné que les pirates ne se sont pas rendus compte que cela mettait fin à leur attaque.

Si cette découverte est rassurante, elle pose déjà problème. Son existence peut désormais motiver des attaquants. Le code de WannaCrypt peut être manipulé et optimisé afin de supprimer cet interrupteur ou de modifier le nom de domaine en question en prenant soin, cette fois, de l’enregistrer. Cette dernière possibilité est peu probable. L’enregistrement d’un nom domaine laisse des traces. Les autorités peuvent plus facilement retrouver un propriétaire.

Bitdefender a déclaré que 180 000 appareils ont été infectés. Sur l’ensemble des victimes, seulement 102 ont décidé de payer la somme de 300 $ soit environ 27 000 $. De manière plus générale, le ransomware WannaCrypt a touché 104 pays dont le Royaume-Uni, la Russie, l’Ukraine, la Chine, l’Inde, l’Italie, l’Égypte, la France et la France.

Wannacrypt, un ransomware sophistiqué

WannaCry est un Ransomware. Nommé rançongiciel en français, son objectif est de prendre en otage les données d’un ordinateur en procédant à un chiffrement. La victime est alors sollicitée pour envoyer de l’argent en échange de la clé qui permettra de déchiffrer ses données.

L’application malveillante assure sa survie avec une propagation autonome via le réseau présent sur la machine. Cette seconde partie tire profil d’une faille de sécurité de Windows, une vulnérabilité SMB. Identifiée MS17-010 chez Microsoft, elle a été trouvé par un groupe de pirate nommé Shadow Brokers. Shadow Brokers a dévoilé son existence en publiant une série de fichiers dérobée à la NSA.

Il existe heureusement un moyen de se protéger. La première chose à faire est de rester vigilant à l’égard des pièces jointes accompagnant certains mails de source inconnue. Sans hésitation une mise à la corbeille immédiate est conseillée. Ensuite, il faut tenir à jour la sécurité de son système d’exploitation. A ce sujet, Microsoft propose des patchs de sécurité concernant cette faille zero day. Toutes les versions de Windows sont concernées même Windows XP.

Enfin, l’a présence d’un antivirus est fortement recommandée mais il doit absolument être à jour. Pour les professionnels, le CERT-FR a publié ses recommandations, préventions et mesures