WannaCrypt0r, WannaCry

WannaCrypt0r : le rançongiciel qui a touché des ordinateurs du monde entier

Les attaques de rançongiciels ne cessent de prendre le monde entier au dépourvu, comme l’a montré le dernier rançongiciel WannaCrypt0r (aussi appelé WannaCrypt, WannaCry ou WCry) dans un triste scénario, qui a touché des dizaines de milliers d’utilisateurs, d’entreprises et mêmes d’hôpitaux, dans plus de 90 pays. Malgré les appels que nous lançons, en tant qu’experts en sécurité, à une prudence renforcée, il est souvent plus facile de prétendre que ce genre de choses n’arrive qu’aux autres et de continuer comme si de rien n’était.

L’on s’attend depuis longtemps à ce que ces attaques massives de rançongiciels se multiplient et s’intensifient, aussi désagréables soient-elles pour les utilisateurs. Nous le constatons, une branche entière de la cybercriminalité se base sur ce genre d’attaques, car elles permettent de récolter des millions très facilement auprès des victimes.

Qu’est-ce qu’un rançongiciel ?

Il existe deux types de rançongiciels : ceux qui chiffrent les fichiers (qui les rendent illisibles) et ceux qui verrouillent l’écran d’accueil. Dans les deux cas, l’auteur du logiciel malveillant réclame une rançon à ses victimes pour qu’elles puissent récupérer l’accès aux fichiers et à l’appareil.

Les rançongiciels se répandent fréquemment par e-mail : un cyber-criminel envoie un e-mail contenant une pièce jointe. L’utilisateur peu méfiant ouvre le document (ou fichier javascript), qui semble illisible. Le document vous recommande d’activer les macros « si l’encodage des données n’est pas correct », ce qui évidemment, est fait exprès. L’activation des macros permet de télécharger secrètement le rançongiciel sur l’ordinateur à votre insu.

Qu’est-ce qui est différent avec WannaCrypt0r ?

Dans ce cas, c’est la méthode de diffusion, qui fait plutôt penser à un vers qu’à un « rançongiciel » classique. Une fois sur votre PC, il tentera à son tour d’infecter d’autres ordinateurs en exploitant des vulnérabilités qui n’ont pas encore été détectées ou corrigées. Dans le cas de WannaCrypt0r, cette vulnérabilité se nomme EternalBlue, l’une des failles récemment exposées par le groupe de pirates Shadow Brokers dans une archive divulguée sur les outils de la NSA. Le pire, c’est qu’un correctif de Microsoft existait déjà depuis mars pour corriger tous les systèmes affectés, ce qui montre que les utilisateurs et les grandes entreprises ne mettent que rarement leurs systèmes à jour. Suite à l’attaque, Microsoft a même publié des correctifs pour Windows XP, Windows Server 2008 et d’autres systèmes d’exploitation qui ne sont plus pris en charge par Microsoft mais encore très utilisés dans le monde.

« Je ne le dirai jamais assez, il est essentiel de maintenir votre système à jour », insiste Oscar Anduiza, analyste de logiciels malveillants chez Avira. « Dans un monde parfait où tout le monde aurait installé ce correctif, une attaque de cette envergure n’aurait jamais abouti. » Alors si ce n’est pas déjà fait, mettez à jour votre système d’exploitation. D’ailleurs, avec Software Updater Pro, le correctif aurait été installé sur votre système le jour de sa sortie, en un clic, il n’y a donc aucune raison de laisser cette faille grande ouverte à la merci de n’importe quel rançongiciel.

Comment fonctionne WannaCrypt0r ?

Une fois installé sur le PC via la faille mentionnée plus haut, le rançongiciel tentera d’obtenir l’autorisation d’exécuter et de chiffrer le système. Il utilise pour cela la commande « icacls  /grant Everyone:F /T /C /« . Il va même plus loin et détruit le système de stockage de messages et toutes les bases de données que l’utilisateur possède sur son PC afin de les contrôler également.

Une fois cela effectué, il recherche tous les fichiers dont les extensions sont du type : « .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc« , et stocke une note de rançon nommée @Please_Read_Me@.txt et une copie du programme de déchiffrement @WanaDecryptor@.exe dans chaque dossier où un fichier a été chiffré.

Pour aggraver le tout, WannaCrypt0r s’assure également d’éliminer toutes les copies du volume Shadow, il désactive la récupération au démarrage de Windows et efface l’historique de sauvegarde de Windows Server. C’est là qu’intervient l’utilisateur. Pour pouvoir exécuter le paramètre de ligne de commande requis pour ces actions, le rançongiciel a besoin de l’autorisation de l’utilisateur. Une fenêtre apparaît alors et demande à l’utilisateur d’accepter. S’il ne l’a pas acceptée, l’utilisateur a peut-être une chance de récupérer son système. S’il a accepté la requête, c’est irréversible : WannaCrypt0r exécute alors la ligne de commande « cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet » et après la suppression des copies Shadow, affiche un écran typique des rançongiciels sur le bureau.

Avira, la tranquillité d’esprit et la sécurité pour votre PC

Alors que nous poursuivons nos investigations sur les détails de l’attaque WannaCrypt0r – après tout le travail d’un analyste en malware ne s’arrête jamais – nous pouvons déjà vous confirmer que notre logiciel détecte ce rançongiciel, car des variantes avaient déjà été détectées par nos analyses il y a deux mois.

Qu’il s’agisse d’un rançongiciel, d’hameçonnage ou d’usurpation de l’identité, aujourd’hui, personne ne devrait plus être victime de ce genre d’attaque. Notre gamme complète de produits de sécurité offre des solutions pour tout et peut empêcher toutes sortes d’attaques, avant même qu’elles n’apparaissent :

Ayez une longueur d’avance, empêchez les attaques

Notre logiciel Software Updater Pro, le Navigateur Scout, Phantom VPN Pro et Avira Password Manager constituent la solution idéale pour empêcher qu’une attaque se produise. Software Updater s’assure que les failles de sécurité sont refermées dès qu’un correctif est disponible, tandis que le navigateur Scout, VPN et Password Manager veillent à ce que vos données ne tombent pas entre de mauvaises mains. Les attaques de logiciels malveillants et les campagnes d’hameçonnage auront beaucoup plus de mal à vous atteindre.

Détectez les menaces avant qu’elles n’aient le temps de germer

Notre Antivirus Pro primé et sa protection améliorée contre les rançongiciels vous protègera coûte que coûte. Qu’il s’agisse d’un virus classique, d’un vers, d’un logiciel malveillant ou d’un rançongiciel, notre antivirus s’occupe de tout et vous offre une tranquillité d’esprit incomparable.

Faire le ménage après vous

Si vous remarquez un peu tard que vous auriez dû installer un antivirus et que votre PC semble perdu, notre Antivirus Pro dispose d’un système de secours qui pourrait bien vous sauver. Et si cela ne suffit pas, System Speedup optimise votre PC après les attaques et corrige les erreurs, répare les paramètres défaillants et nettoie le registre.

Cet article est également disponible en: AnglaisAllemandItalien

Avira souhaite que ses clients vivent 'libérés' des spywares, phishing, virus et autres menaces basées sur internet. La société a été créée il y a 25 ans sur la promesse de son fondateur Tjark Auerbach de « concevoir un logiciel qui réalise de belles choses pour mes amis et ma famille ». Plus de 100 millions de consommateurs et de petites entreprises font maintenant confiance à l'expertise d'Avira en matière de sécurité et à son antivirus primé, faisant de l'entreprise le numéro deux mondial en termes de parts de marché.