Articles


Lundi, 22 Mai 2017

LE RANSOMWARE WANNACRY
Ce que vous avez besoin de savoir



Cyber Security

Qu’est-ce que WannaCry ?


Il s'agit d'un programme de ransomware spécifique qui verrouille toutes les données sur un système informatique et laisse l'utilisateur avec seulement deux fichiers: des instructions sur ce qu'il faut faire et le programme WannaCry lui-même. Lorsque le logiciel est ouvert, il indique aux utilisateurs de l'ordinateur que leurs fichiers ont été chiffrés jusqu'à ce qu’une rançon soit payée. WannaCry et ses variantes comme WanaCrypt et Wanna Decrptor ciblent les ordinateurs qui utilisent le système d'exploitation Windows de Microsoft. Cette campagne est considérée comme la campagne de ransomware la plus massive à ce jour. Depuis le 14 mai 2017, il y a eu des cas d'infections dans 150 pays, dont le Royaume-Uni, les États-Unis, la Chine, la Russie, l'Espagne, l'Italie, Taiwan et Singapour.


Quels sont les signes d’une infection par ransomware ?

Le principal symptôme est que les fichiers et le système de l'ordinateur ne sont plus accessibles. Une note de rançon apparaîtra également avec les instructions de paiement. Certains ransomware peuvent fixer des délais pour que la victime paie la rançon. Le fait de ne pas respecter ces délais peut entraîner une plus grande rançon ou une suppression de la clé de décryptage, ce qui entraînerait la perte des fichiers ou l'accès à l'ordinateur en permanence.


Comment les ordinateurs sont infectés ?

Les infections à Ransomware se propagent habituellement par courrier électronique, bien que WannaCry soit susceptible d'être déclenché par d'autres méthodes. Lorsque les utilisateurs activent le fichier malveillant, soit à travers un courrier électronique d'hameçonnage ou un site d'arrosage, le virus se propagera automatiquement et verrouillera les fichiers et les programmes. WannaCry est un système de ransomware extrêmement rapide qui exploite un exploit de Windows Server Message Block (SMB). Il cible les ordinateurs exécutés sur des versions non prises en charge ou non prises en charge de Windows et des serveurs et se propage comme un ver pour infecter d'autres systèmes vulnérables dans le réseau interne.


Qui a été infecté par WannaCry ?

L'opérateur espagnol Telefónica, avec ses filiales au Portugal et en Amérique du Sud, a été parmi les premières grandes organisations à signaler une infection par WannaCry. Parmi les autres organisations concernées figurent le constructeur automobile français Renault, la société allemande de chemins de fer Deutsche Bahn, le Ministère russe des affaires intérieures, l'organisation britannique de santé National Health Service et l'expéditeur américain FedEX. Au Maroc, WannaCry a frappé "un certain nombre" de victimes, Des institutions ont préféré arrêter leurs services onlines ainsi que leur messagerie électronique.


Qu’est-ce qui arrive aux victimes du ransomware WannaCry ?

Le malware va chiffrer les fichiers dans l'ordinateur infecté et verrouiller la victime. Une note de rançon sera affichée, demandant initialement 300$en Bitcoin. La rançon a été augmentée à 600$ dans les attaques qui ont suivi. Cela suggère que le groupe de pirates informatiques augmente leurs demandes de rançon. La note de rançon menace de doubler la somme demandée si le paiement n'est pas effectué dans trois jours. Et si le paiement n'est pas effectué en sept jours, la victime est menacée de perdre ses dossiers en permanence. Un compte à rebours est également affiché pour augmenter l'urgence de payer la rançon. Pour s'assurer que la note de rançon n'est pas manquée, les logiciels malveillants modifient également le fond d'écran sur une image avec des instructions sur la façon de trouver l'outil Decryptor. Le ransomware installera également une porte dérobée pour accéder au système à distance via le port 445.


Pourquoi est-il si destructeur ?

La vitesse et l'ampleur de la propagation de WannaCry sont alarmantes. Quelques heures après sa découverte, le vendredi 12 mai 2017, plus de 57 000 attaques ont été signalées dans 99 pays. Des opérations dans de grandes organisations comme les Services nationaux de santé britanniques, l'expéditeur mondial FedEX aux États-Unis et le ministère russe de l'Intérieur ont été touchés. Depuis le 14 mai 2017, l'attaque s'est propagée à 200 000 victimes dans 150 pays. Ce virus a été conçu comme un "ver" qui signifie qu'il peut se propager automatiquement vers d'autres ordinateurs dans le même réseau. Les experts disent que le logiciel malveillant se propage à un taux de cinq millions de courriels par heure.


Quels sont les systèmes d’exploitation Microsoft vulnérables à WannaCry ?

Les systèmes d'exploitation Microsoft suivants sont vulnérables s'ils n'ont pas encore été corrigés:
Windows 7; Windows Vista; Windows Server 2008 and Windows Server 2008 R2; Windows Server 2003 SP2 x64; Windows Server 2003 SP2 x86; Windows XP SP2 x64; Windows XP SP3 x86; Windows XP Embedded SP3 x86; Windows 8 x86; Windows 8 x64.
Les extensions ciblées par WannaCry:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc.
Le malware ajoutera la chaîne "WANNACRY" au début d'un nom de fichier chiffré ou ajouter l'extension .WNCRY au fichier crypté.


LES UTILISATEURS FINAUX


Comment prévenir l’infection ?

Autres actions de mitigation

1. Toujours avoir une politique de sauvegarde de données en place :

2. Éduquez vos utilisateurs :

3. Toujours exécuter un contrôle du réseau :

4. Assurez-vous que vos réseaux sont surveillés en temps réel 24x7 :

5. Déploiement et maintenance de logiciels de sécurité :


Comment puis-je être sûr que mon organisation est à l'abri de WannaCry?

Pour vous informer, il est conseillé de faire une évaluation approfondie dès que possible pour comprendre les risques et les vulnérabilités de votre réseau dans le système de rançon WannaCry.
Cependant, ne vous concentrez pas uniquement sur WannaCry et mettez à jour le correctif Microsoft MS17-010-Critical. Il existe de nombreuses autres vulnérabilités que vous pourriez avoir. Cela inclut les périphériques de point d'extrémité non sécurisés, les défauts du logiciel et les mauvaises configurations du réseau. Cela rend votre réseau susceptible de menaces cybernétiques.
Remplissez les faiblesses que vous avez dans votre réseau, applications et bases de données avec des évaluations de vulnérabilité régulières et des tests de pénétration.
En tant que fournisseur principal de services de cyber-sécurité, Maroc Cyber Security effectue des évaluations de vulnérabilité pour identifier les vulnérabilités au sein de vos réseaux.


Que dois-je faire si je suis infecté par WannaCry?

D'abord, ne paniquez pas. Nous vous conseillons de ne pas payer la rançon car elle encourage les attaques futures. Même si le paiement est effectué, il n'y a aucune garantie que tous les fichiers seront retournés intacts. La meilleure solution est de restaurer des fichiers à partir d'un stockage de sauvegarde.
Si cela n'est pas possible, il existe des outils et une aide professionnelle d'experts comme Maroc Cyber Security pour aider à récupérer de l'information.