Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

WannaCry – Et bien pleurez maintenant

Comment ça, je n’ai pas parlé de WannaCry sur ce blog alors que même sur TF1 et BFM ils en ont causé ? Et bien désolé, mais j’étais de mariage et j’ai passé mon week-end sur la route et à faire la fiesta 😉

Mais je sais que certains d’entre vous ont passé un mauvais week-end et que d’autres s’apprêtent à passer une sale semaine donc je vais prendre le temps de vous faire un retour construit et intelligent sur cette cyberattaque « mondiale ».

Qu’est ce que c’est que ce truc ?

WannaCrypt, WannaCry, WanaCrypt0r, WCrypt ou WCRY de ses petits noms est simplement un ransomware de plus. C’est-à-dire un malware qui s’installe à l’insu de votre plein gré sur votre ordinateur, qui chiffre vos fichiers et qui vous réclame ensuite une rançon allant de 300$ à 600$ pour les déchiffrer. Rien de très original là-dedans ni de très nouveau, car WannaCry est dans la nature depuis février. Sa petite particularité quand même c’est que pour se répandre, il utilise une faille trouvée par la NSA sur toutes les versions de Windows antérieures à Windows 10. Cette faille a bien sûr été corrigée grâce à un patch fourni par Microsoft le 14 mars dernier.

WannaCry une fois en place grâce à la faille ETERNALBLUE (©NSA), chiffre tout ce qu’il peut, déploie aussi un cheval de Troie nommé DOUBLEPULSAR (©NSA) et s’en va corrompre les copies automatiques de récupération de Windows pour rendre toute récupération de fichiers impossible.

Voici une démo de l’infection :

Qui ça touche ?

Et bien ça touche tous les ordinateurs Windows qui n’ont pas la mise à jour du 14 mars. Ça touche aussi les ordinateurs XP, car l’OS n’est plus maintenu par Microsoft depuis longtemps. Contrairement à ce que j’ai pu lire, même si techniquement WCry peut fonctionner sous Linux ou Mac grâce à Wine, il n’est pas conçu pour infecter ces OS. Vous ne risquez donc rien avec cette version contrairement à ce que veulent vous faire croire les adeptes du FUD.

Dans les médias vous avez pu voir que ça touche pas mal d’entreprises (Renault en France qui est totalement paralysée encore ce matin) et de services publics comme des hôpitaux, des gares, des écoles, des bibliothèques, et même des distributeurs de billets. Si la liste des victimes vous intéresse, elle est consultable ici.

Mais ce dont les médias ne parlent pas, c’est que ça touche aussi beaucoup de particuliers.

Comment s’en protéger ?

Notez que Microsoft a publié pour la première fois depuis 2014, un patch pour XP qui fixe la vulnérabilité uniquement sur les versions embedded.

Que faire si on a été infecté ?

Et bien comme je le disais dans mes précédents articles au sujet des ransomwares, la meilleure défense contre un ransomware, c’est de faire des sauvegardes. Donc si vous avez des backups, utilisez-les. Maintenant si vous n’avez rien et que vos fichiers sont chiffrés et bien désolé de vous l’apprendre, mais c’est foutu. Enfin, avant de reformater, conservez bien une copie de votre disque infecté, car il est possible que dans quelques mois, un éditeur d’antivirus ou un chercheur publie un déchiffreur de WannaCrypt et vous pourrez alors récupérer vos précieux documents. En attendant, il va falloir être fort et s’accrocher pour surmonter ce petit passage à vide. Après la pluie, vient toujours le beau temps !

Niveau chiffrement, chaque infection génère une nouvelle paire de clés RSA 2048. La clé publique est exportée dans le fichier 00000000.pky et la clé privée est chiffrée avec la clé publique et exportée dans le fichier 00000000.eky. Ensuite chaque fichier est chiffré en AES-128-ECB avec une clé AES unique par fichier généré via la fonction CryptGenRandom. Puis la clé AES est chiffrée en utilisant la paire de clés RSA globale de WannaCry.

Les fichiers visés par ce malware sont :

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

On en est où de l’attaque ?

Et bien WCry qui a muté ces dernières semaines s’est vu adjoindre un kill switch, c’est à dire une fonction qui permet de le désactiver. Comment cela fonctionne ? Et bien si le nom de domaine www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com existe, le virus se désactive. Un chercheur en sécurité a trouvé une mention de ce domaine dans le malware et l’a enregistré, provoquant sans le savoir, l’arrêt d’une partie de la propagation de WannaCry. D’autres kill switch portant des noms de domaine différents ont aussi été remarqués lors des analyses de WCry.

Mais est-on sauvé pour autant ? Et bien non, car les machines déjà infectées vont le rester et d’autre cybercriminels qu’on appelle des copycat ont remis en circulation une version WannaCry 2.0 qui n’a plus de kill switch. Toutefois, celle-ci semble modifiée avec les pieds, donc a du mal à se propager.

Qui en est responsable ?

La question de la responsabilité a été soulevé par les journalistes et j’ai trouvé cela intéressant. Tout d’abord, les premiers responsables sont les criminels qui ont conçu et diffusé ce malware. Mais d’autres acteurs ont aussi leur part de responsabilité.

Tout d’abord la NSA qui a découvert cette faille et se l’est bien gardé au chaud pendant des années sans en informer Microsoft. C’est totalement contre productif et irresponsable et on a là un bon exemple de ce que ça peut donner. Car suite à la divulgation des outils de la NSA par les ShadowBrokers, cette vulnérabilité (et d’autres plus tard) a été patchée par Microsoft mais aussi utilisé par les cybercriminels de tous poils.

Les autres responsables qui sont aussi les victimes, sont les entreprises et bien sûr les particuliers infectés. Ne pas faire de mise à jour parce qu’on a la flemme c’est totalement irresponsable. Je sais que parfois ce n’est pas simple de faire évoluer ses machines et ses logiciels, surtout dans des environnements de production mais il vaut mieux investir un peu maintenant en sécurité que de devoir dépenser 10 fois plus lorsqu’on est pris à la gorge, que les dégats sont déjà faits et que niveau communication, il va falloir ramer sévère.

Beaucoup d’entreprises commencent à le comprendre et investissent de plus en plus dans leur arsenal de sécurité défensive avec des audits, des outils et du bug bounty.

Maintenant ce matin, j’écoutais des journalistes qui pensaient que cela était aussi la responsabilité de l’Etat et que l’Etat devait nous protéger, entreprises comme particuliers, de ces attaques informatiques. Il est vrai que l’ANSSI est chargée de protéger nos institutions de ce genre d’attaques et ils le font plutôt brillamment. Mais désolé les journalistes, ce n’est pas à l’Etat de protéger tous les ordinateurs présents sur le territoire national. Il y a bien sûr un travail de sensibilitation qui est fait mais si les particuliers et les entreprises ne font pas leur part, ça n’ira nulle part.

La sécurité c’est l’affaire de tous et chacun doit prendre ses responsabilités pour faire face aux attaques. L’Etat, même avec sa super future cyberarmée, ne pourra pas nous sauver de notre flemmardise et je-m-en-foutisme en matière de sécurité informatique. C’est à nous tous de nous bouger.


Réponses notables

  1. Le vecteur c’est la faille SMB de Windows.

  2. Je vais corriger la faute, merci

  3. en réseau local SMBv1, semble que le vecteur autrement c’est les emails. pas sûr.

  4. J’y comprends plus rien, sur le web tout le monde parle d’un fichier pdf envoyé par mail.
    Et là ça serait de l’injection direct si un de ses 3 ports est ouvert ?

  5. à la base faut bien que le virus soit lancé sur une machine dans le réseau local, il arrive donc comme d’hab via un bon gros mail foireux qu’un utilisateur va bien sûr ouvrir et hop !

    P.s: Korben la mise à jour XP dispo sur leur site est uniquement pour les XP “embedded” donc ça s’installera pas sur un XP classique sans bidouille.

  6. Comme les autres, je suis surpris que Korben ne mentionne pas le vieux mail pourri pour se faire infecter ? la presse et la police sont très mauvais … mais Korben ? Alors je ne sais pas hein si c’est le cas, mais … ca parait plus que logique. Plus logique que de dire … désactiver le SMB, mais bien sur, non seulement ca ne prévient pas l’infection du tout, à priori, mais demander à couper son réseau ? rien que ca ? mais c’est quoi le délire ca arrive bien par internet, et non pas réseau local ?

  7. Alors je vais préciser la chose :slight_smile:

    Désactiver SMB sur les machines que tu ne peux pas patcher.
    Oui, initialement par mail comme tous les ransomwares mais après ça exploite la faille SMB pour se répandre en local.

    Je vais rajouter ces précisions dans mon article.

    Merci

  8. Oui, le vecteur initial c’est l’email mais ensuite en local ça exploite la faille SMB.

  9. Npok says:

    Si tu as tes machines à jours avec la MAJ datant de mi-mars y’a pas de problèmes (en tout cas pour la faille utilisée pour la propagation)

  10. Le patch pris directement sur le site MS s’installe sans souci sur XP Pro.

  11. Est ce vraiment bien de conseiller un outil comme RamsonFree alors qu’il ne fait visiblement pas le job?? (lien ci-dessous de Tech2Tech)
    Le test de RamsonFree

    Je ne pense pas que ça soit avec ces outils “gratuit” que l’on se protége efficacement.

  12. Moi il me jette :frowning: j’ai un XP SP3 sur un vieux EEE-PC

  13. En fait l’infection chez les hopitaux est arrivée depuis internet via la faille puis s’est propagée dans tout leur réseau grâce à la fonction de scan du réseau implémentée dans WannaCry donc un ordinateur devait être connecté publiquement et proposait les ports incriminés ouverts.

  14. Désactiver SMB ce n’est pas “couper son réseau”, c’est couper le service d’accès aux fichiers à distance de windows. Et ce n’est pas non plus directement lié aux services type UPNP et compagnie.

    Et dans le cas de ce ransomware, ce qui est mis en avant c’est justement l’exécution de code à distance via une faille SMB; pas besoin de mail, de fichier téléchargé ou d’utilisateur qui clic, il suffit d’avoir un accès aux services SMB de la machine. C’est pour ça qu’un tas de systèmes embarqués (sur lesquelles personne n’ouvre de mail) se sont retrouvés infectés.

  15. Merci pour ton rappel sur le SMB, on est donc tous d’accord, le SMB est la partie essentielle de ton réseau, au contraire du ridicule UPNP.
    Je ne te félicite pas pour ta crédulité et ton manque de lucidité, manque de chance tu répond des heures après Korben à mon message, qui a confirmé, et modifié sa news en conséquence.
    Effectivement l’ensemble de la presse, meme spécialisée, et la police ont mis en avant cette ridicule nouveauté, mais ce n’est pas pour ca qu’il faut tout gober comme un débutant. Car si, c’est bel et bien d’abord un email de phishing ridicule, qui est au départ de chaque infection, le bonus étant en plus l’oubli de mise à jour pendant 2 mois… Ce qui explique pourquoi seules les sociétés ont été infectées.

  16. Pire que ça, je ne pense pas que des PC aient été accessibles directement sur les ports SMB depuis Internet vu que les forntaux sont des firewalls/VPN ou autres qui n’exposent ni ne translatent pas le SMB (enfin j’ose espérer) mais le personnel hospitalier s’en bas les c… de la sécurité, ils se baladent avec des clés plus vérolées que des p… de bangkok et c’est grave, ils se baladent même avec des dossiers patients chez eux et s’ils perdent la clé ou si leur gamins s’amusent à regarder dedans, copier les données … enfin bref les hôpitaux = sécurité informatique zéro.

  17. Si seulement les utilisateurs étaient aussi assidus que tu le penses …

    Ce qui explique pourquoi seules les sociétés ont été infectées

    Attention, évidemment, les seules entités qui communiquent sont les sociétés. Les raccourcis sont simples, mais toutes les personnes touchées ne sont pas forcément toutes les personnes qui ont communiqué à ce propos, loin de là d’ailleurs. Combien d’utilisateurs désactivent les MAJ parce que ça prend 5 minutes au boot ? Malheureusement, beaucoup (trop)… :frowning:

  18. juste pour te répondre :
    Windows Defender n’a jamais été un antivirus.
    appelons un chat un chat.

    beaucoup de solution antivirus communautaire gratuit Semi-pro existe, Sophos Home (Sophos Entreprise…) [je ne l’utilise plus], Immunet (Solution complémentaire pour antivirus nommée Sourcefire dans la version Pro de chez Cisco). certe si c’est gratuit on est le produits, mais rien que ces 2 solutions remplacé chacun part d’autre (Avast, Aviras, Malwarebytes etc… etc…) rajoutons un mini firewall si votre PC est Nomade (Pc portable) Glasswire règles beaucoup de problème.
    hormis quelque bug liée a des patch Microsoft sortie trop tôt et pas trop étudié en production non jamais proposé de problème majeur ( hormis désagrément visuel, a l’époque de W2003 perso). personnellement je lance quasiment manuellement (même si l’automatisation est implémenté) tout les 2/3j PatchmyPc pour les application Tiers (Flash/Java/etc…etc…) certes on est pas a l’abri d’une infection du soft un jour ou l’autre, mais en scrutant un peux, rien a l’horizon. et je ne parle ici que pour des solutions de particuliers pas PRO.

    celui qui dit qu’il n’a plus de virus depuis qu’il a désinstaller sont antivirus ce fout le doigt dans l’œil.

    la solution c’est ce protégé comme dans la vie réel.

    il faut prendre des solutions complémentaire (Sophos/Mcaffe/avast) additionné à des solutions en SUP (immunet/malwarebyte) [je mélange un peux les lots mais bon le principe est là]

    bref faut arrêté de mettre tout les œufs dans le même panier et arrêté de ce croire sécurisé, le problème est toujours en partie un problème d’ICC (interface-chaise-clavier) [d’utilisateur]

    une capote n’a jamais protégé des MST a 100% l’utilisateur en est responsable aussi

  19. Tu te rappel pas du SMB, tout de suite dire que le UPNP c’est ridicule, en gros tu piges rien à la sécurité, ne souhaiterais donc tu pas juste circuler, t’informer avant de l’ouvrir ?

    Les journaleux, informateurs n’explique jamais le pourquoi du comment de manière précise mais survole juste le sujet car c’est le sujet du moment.

    Le premier vecteur est bien souvent l’email, cibler les entreprises c’est infecter des milliers de PC rapidement, cibler une particulier c’est cibler 1 personne, waouh, tu comprends pourquoi ça rapporte pas ? D’autant que tu dois avoir 12 ans parce que pensez que dans les hôpitaux ils ont que ça à foutre de mettre à jour les ordis sous XP destiné à des équipements, ouai en effet c’est un clairement un manquement…
    C’est pas pour rien que MS force les mises à jours depuis win10 automatique, mais après les gens se plaigne et le désactive…parce que bon ce service là il sert à rien, allez j’installer ccleaner… :triumph:

    Va voir la vidéo sur le virus du 18-25 / twitch booster, les gens sont assez con pour supprimer leur protection et faire tourner n’importe quoi.

    J’aimerais savoir par contre le nombre d’antivirus qui aurai stopper l’attaque si la machine n’était pas à jour ? un bon moyen de prouver encore que cela n’aurai rien changé. certes une fois qu’il est sorti mais avant… non.

  20. Tu simplifies, tu repars sur le gros délire de la presse, la menace pour le particulier n’est absolument pas le 2e facteur réseau local, puisque c’est le 2e facteur, et en plus très peu dangereux pour le particulier. Le 1er facteur bien un mail débile, hors, le particulier a tendance en outre a utiliser un webmail, avec antivirus intégré. Tous ces details en font un virus ciblant plutôt les entreprises.

  21. Pour l’exploitation de la faille, oui c’est ça. Le soucis c’est que sur tes X centaines d’employé tu as toujours un mec qui ouvre tous les mails qui lui passe sous la main sans trop comprendre ce qu’il se passe. Concernant l’AV, le virus vient juste d’être codé, il n’est donc pas dans la base de signature, et l’analyse “comportementale” est encore très aléatoire sur les AV (pour rappel, un antivirus ne bloque qu’environ 30% des menaces, en gros les trucs de scriptkiddies qui récupère des bouts de code sur internet pour faire leur virus, voir en prenne des tout fait).
    Les MAJ Windows ce n’est pas évident en entreprise : ça fonctionne en l’état pourquoi prendre le risque de mettre à jour ? Quand tu prends le cas de Renault ils perdent des centaines d’euro par minute (voire milliers), en cas d’arrêt de la production, donc si le mec de l’IT vient voir les responsables pour leur dire qu’il va mettre à jour leur poste de travail, on lui rit au nez.

    Quand à la sécurité sur un site comme Renault, souvent y’a une sécurité internet vers intranet qui est forte, mais une fois dans l’intranet tu te balades :wink:

  22. Simple petit détail : arrêtez de dire que Windows 10 n’était pas touché. Windows 10 était vulnérable, et a été patché en mars comme tous les autres. Si la NSA a gardé cette faille SMB bien au chaud, c’est justement parce que TOUS les Windows de XP à 10 étaient vulnérables.

    Sinon oui Korben, tu as raison, les entreprises devraient upper un peu les sécurités. Les mises à jour de sécurité sont vitales et c’est montré ici. Mais comme mentionné plus haut, certains n’ont pas le choix. Je pense notamment à Renault : le milieu indutriel utilise des automates de contrôle dont le logiciel n’est disponible que sous XP (bien souvent).
    Microsoft a fait un grand pas en avant en forçant les MàJ.

    Par contre, je m’étonne, depuis le temps que les ver existent, qu’aucune mesure ne soit prise en entreprise pour isoler les machines entre elles. En effet, au niveau réseau, il est possible d’isoler les machines utilisateur entre elles (ou de les grouper par petit nombre pour limiter la casse) et de faire communiquer seulement avec les serveurs centraux (qui eux peuvent plus facilement mis à jour). Un poste de travail n’a pas besoin de communiquer directement avec les autres postes (un mail ça passe par le serveur mail central). Et avant qu’on me dise “et comment tu fais” : tu fous un VLAN par poste (ou petit groupe), tu les fait tous passer par le routeur + firewall central nazi, qui bloque toute communication inter-poste. Évidemment c’est bien plus complexe qu’un réseau standard d’entreprise, mais c’est efficace.

  23. Je confirme la position de Hackndo. Il existe encore beaucoup de poste XP dans l’industrie. Ils servent au pilotage de machine spéciales et son souvent captifs de ces outillages. Ils devraient être hors réseau, mais malheureusement, il existe souvent des remontés de données vers quelque système de gestion qui l’empêche.

    Un exemple : j’avais un vieux machin sous XP (sans SP) qui pilotait une machine. Impossible de changer de système car les capteurs de la machines étaient incompatibles avec la version supérieure du programme, version qui tourne exclusivement sous cet OS.

    1. premier choix : acheter un nouvel outillage conforme : 300.000 boules
      
    2. deuxième choix : faire une modification de l’outillage : 350.000 boules (+ chère :flushed: ! )
      
    3. troisième choix : acheter aux puces quelques vieux bouzins avec des disques IDE : 100 boules
      

    Le choix est vite fait, du moins tant que l’outillage à piloter ne présente pas de problème.

    Concernant les postes XP qui restent en réseau, la principale défense consiste à réduire la surface d’attaque en arrêtant tous les services inutiles et à ne jamais placer dessus un client de messagerie.

    Pour autant on peut utiliser un poste XP « caïman » à vie s’il est installé hors réseau (air gap), sans Bluetooth ni wifi et gavé de colle « araldite » dans les ports USB. Une petite image de sauvegarde par trimestre et hop !

    Concernant la sécurité en entreprise, je suis persuadé, après avoir constaté que la classe dirigeante est la plus irrespectueuse des règles de sa propre entité, que le problème vient des grandes écoles et des universités qui, soit négligent, soit omettent ce point dans leur cursus.

    Allez l’ANSSI … distribuez moi quelques coup de pompes au Q !

  24. Croux says:

    Il existe un patch pour XP SP3 (non embeded) officiel KB4012598

  25. fofo says:

    Facile de critiquer, la cas de Renault est compréhensible :

    • Y’a forcément du partage réseau (remonté de prod par des fichiers textes, partage de fichier Excel de suivi…)
    • Y’a forcément de vielle machine non upgradable sur la ligne prod (un truc qui gère un automate ou une imprimante industrielle tu t’amuses pas à la màj un week end comme ça pour voir)

    Ensuite c’est une question de temps :

    • Combien de temps avant qu’un idiot ouvre une pièce jointe chelou ? (plus t’as de monde dans la boite, plus le risque est élevé)
    • Combien de temps avant qu’un idiot aille surfer sur un site pourri pendant sa pause en pleine nuit.

    On a une chance en France, beaucoup de (tous les ?) particuliers ont une box internet, qui par défaut fait router. Il y’a 10ans on avait l’ADSL avec un modem USB, et ton windows se retrouvait avec un IP publique parfois fixe tous les ports exposés aux quatres vents.
    Personne ne se rappelle de Blaster en 2003, le truc se propageait en spammant des IP aléatoires d’un coté pour se propager, et l’autre faisait du deny de service sur windows update. En 2j y’avait des PCs qui rebootaient en boucle partout dans le monde :slight_smile:

  26. Croux says:

    Windows 10 n’est pas vulnérable à cette faille.

Continuer la discussion sur Korben Communauté

21 commentaires supplémentaires dans les réponses

Participants