FAQ – WannaCry (WanaDecryptor)

Voici une FAQ pour répondre à toutes les questions concernant WannaCry (WanaDecryptor).
Le but est de répondre aux principales questions rapidement sur ce ransomware et attaque informatique liée à WanaDecryptor.

FAQ – WannaCry (WanaDecryptor)

Q – On parle de cyberattaque, qu’est-ce que WannaCry (WanaDecryptor) ?

Le terme de cyberattaque peut faire penser à un état de guerre ou autres.
Il s’agit en réalité, d’un ransomware, c’est à dire un logiciel malveillant qui chiffre vos documents (comprenez crypter) et demande de payer une rançon pour récupérer accès à ces derniers (vous récupérez la clé de déchiffrement).
Il s’agit donc de prendre en otage vos documents afin de gagner de l’argent.

Ces pratiques sont loin d’être nouvelles, puisque ces menaces de ransomwares existent depuis des dizaines d’années et sont devenus plus fréquentes depuis fin 2015.
Le caractère exceptionnel de WannaCry est sa méthode de propagation pour ce type de menace informatique, qui a lui a permis d’infecter des milliers d’ordinateurs en peu de temps. Les ransomwares sont plutôt poussés par des campagnes de mails vérolés ou installer par des trojan (cheval de troie) pour monétiser le botnet.
Cela étant, la méthode utilisée n’est, là non plus, pas nouvelle.

La vidéo suivante présente WannaCry et les implications de sécurité :

Q – WannaCry est un ver informatique ou worm, qu’est-ce ?

Un ver informatique (worm en anglais) est un logiciel malveillant capable de se propager tout seul, il embarque donc une routine qui attaque des ordinateurs vulnérables pour les infecter automatiquement.
Pour infecter des ordinateurs, en général, les vers informatique exploitent des vulnérabilités à distance, si la vulnérabilité est accessible, l’ordinateur va être infecté.
Les ordinateurs infectés passent leurs temps à envoyer des trames sur les réseaux, afin d’infecter de nouveaux ordinateurs.
Ces logiciels malveillants de type vers ne sont pas nouveaux, en 2004, le ver Blaster avait fait beaucoup parlé de lui, par la suite Conficker aussi.

Voir notre dossier sur les vers informatiques (worm) : vers informatiques (worms) : description et fonctionnement

Afin de pouvoir infecter un ordinateur, il faut remplir plusieurs conditions :

  • L’ordinateur doit être vulnérable, comprenez que Windows ne doit pas être à jour et que la vulnérabilité utilisée ne soit pas corrigée. Dans le cas de WannaCry, cela concerne la vulnérabilité MS17-010 dont les mises à jour Windows ont été mis en ligne en mars 2017.
  • La vulnérabilité distante doit être accessible :
    • Lors d’une connexion à internet, si vous êtes derrière un routeur/box, vous n’êtes pas concerné directement
    • Depuis un réseau local (LAN), il faut qu’un ordinateur infecté soit actif et envoie des trames dans tout le réseau
    • Le service réseau de Windows vulnérable, en l’occurrence SMB, qui est le serveur de partage de fichiers doit être accessible (non filtré par un pare-feu).

En France, les particuliers se connectent derrière un routeur/box, les ordinateurs ne sont donc pas directement attaquables.

Q – Comment se protéger de WannaCry et des vers informatiques ?

La première chose à faire, consiste à maintenir Windows à jour, activez Windows Update et installer toutes les mises à jour Windows.
La mise à jour correctrice a été mise en ligne en mars 2017, si vous effectuez régulièrement les mises à jour Windows, vous êtes déjà protégés.

Les mises à jour pour toutes les versions de Windows sont disponibles sur le catalogue de mise à jour Windows Update : http://www.catalog.update.microsoft.com/search.aspx?q=kb4012598

Mise à jour correctrice Wannacry / DoublePulsar

Si besoin, les liens directs pour chaque version de Windows :

Les liens de toutes les mises à jour : https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx

En second lieu, assurez-vous que le pare-feu de Windows est bien actif : Panneau de configuration > Pare-feu
A gauche, cliquez sur Activer/désactiver des fonctionnalités de Windows.
Vous pouvez aussi Bloquer le partage de fichiers (SMB) avec le pare-feu de Windows, si vous n’utilisez pas le partage de fichiers Windows.

Toutes les versions de Windows ne sont pas égales face à cette vulnérabilité et menace informatique :

Q – Avast! alerte que mon ordinateur est vulnérable à Wannacry/Double pulsar

Si vous recevez une alerte d’Avast! indiquant que votre ordinateur est vulnérable à Wannacry/double pulsar, il y a de forte chance que vous n’aillez pas installer toutes les mises à jour Windows.
Rendez-vous dans le Panneau de configuration de Windows puis Windows Update, faites une recherche de mises à jour Windows et installez ces dernières.

Vous pouvez aussi télécharger et installer manuellement la mise à jour Windows qui protège contre Wannacry et Double Pulsar, voici le lien de téléchargement : http://www.catalog.update.microsoft.com/search.aspx?q=kb4012598

Q – A quoi faut-il s’attendre ?

D’autres attaques vont être menées par d’autres groupes ces prochaines semaines, afin d’infecter les ordinateurs vulnérables.
Le but est de profiter rapidement de ces ordinateurs encore non mis à jour, afin de faire rapidement de l’argent, avant que le parc d’ordinateurs vulnérables soient trop bas pour que cela soit intéressante de mener ces campagnes.

Une nouvelle campagne pour installer des Trojan Miner a actuellement lieu.
Il s’agit ici, plutôt d’attaques automatisés et non de vers qui utilisent les ordinateurs victimes pour se propager.

L’actualité autour de ces attaques MS17-010 : Wana Decryptor (aka WannaCry) et attaques MS17-010
(EDIT – justement j’ai commencé à mettre quelques autres campagnes qui utilisent la faille MS17-010 pour infecter des Windows)

(Visité 951 fois, 1 visites ce jour)